Dalam proses pembangunan PHP, keselamatan sentiasa menjadi isu yang perlu kita ambil perhatian. Semasa menulis program, kami sering menggunakan pelbagai cara untuk mencegah serangan penggodam dan memastikan keselamatan data pengguna Menutup aliran output adalah salah satu langkah keselamatan yang paling biasa digunakan.
1. Apakah yang menutup aliran keluaran
Dalam program PHP, kandungan output selalunya dikeluarkan kepada penyemak imbas pelanggan atau terminal lain melalui fungsi seperti gema, cetakan, var_dump, dsb. Menutup aliran output bermakna menutup aliran output semasa program sedang berjalan, dengan itu menghalang mesej ralat yang tidak perlu dan juga kod berniat jahat daripada menjadi output kepada penyemak imbas dan meningkatkan keselamatan program.
2. Mengapakah kita harus menutup aliran keluaran?
Apabila aliran keluaran tidak ditutup, sesetengah penyerang mungkin lulus URL menyuntik beberapa kod hasad untuk mendapatkan maklumat pengguna yang penting, mengubah suai data, dsb. Walau bagaimanapun, jika aliran output ditutup, penggodam tidak akan dapat mendapatkan maklumat output aplikasi dan tidak akan dapat mengeksploitasi kelemahan ini.
Kadangkala kami memasukkan maklumat sensitif dalam output, seperti konfigurasi pangkalan data, maklumat pepijat, dsb. Bagi penyerang, maklumat ini boleh menjadi titik lemah dalam serangan, jadi menutup aliran keluaran boleh melindungi keselamatan sistem dan menghalang kebocoran maklumat penting.
Menutup aliran output boleh mengurangkan jumlah output data oleh sistem, dengan itu meningkatkan kelajuan berjalan program dan mengurangkan beban pada pelayan. Ini amat penting untuk program dengan volum akses yang besar atau kitaran yang berjalan lama.
3 Cara menutup aliran keluaran
PHP menyediakan pelbagai kaedah untuk menutup aliran keluaran Kami akan memperkenalkannya secara berasingan di bawah.
Dalam fail konfigurasi php.ini yang disertakan dengan PHP, terdapat item konfigurasi: output_buffering. Jika nilai ini ditetapkan kepada Hidup, semua output program akan ditulis ke cache terlebih dahulu dan tidak akan dikeluarkan sehingga skrip dilaksanakan, yang bersamaan dengan menutup aliran output. Ini boleh dicapai dengan menambahkan baris kod berikut pada fail konfigurasi PHP:
output_buffering = On; -in function ob_start()
ob_start();
echo "Hello, world!";
$output=ob_get_contents() ; / /Dapatkan data dalam penimbal, tetapi jangan kosongkan penimbalob_end_clean(); //Kosongkan kolam penimbal
echo $output;
?>
Kaedah 3: Gunakan fungsi PHP terbina dalam header()
header('Kandungan-Panjang: 0');
atau:
header("HTTP/1.1 200 OK"); );//Tutup sambungan
}
4 Nota
fastcgi_pass 127.0.0.1:9000; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_buffer_size 4k; fastcgi_buffers 4 4k; fastcgi_busy_buffers_size 8k; fastcgi_read_timeout 300; fastcgi_send_timeout 300; fastcgi_connect_timeout 300; fastcgi_buffering on; #开启缓冲池
Atas ialah kandungan terperinci PHP+ menutup aliran keluaran: langkah penting untuk memastikan keselamatan operasi program. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!