本文目錄一覽:
php在安全方面有哪些問題
當然有安全問題。
PHP的語法結構與C、Prel 非常相似,開發者可以直接在任何文本編輯器中編輯 PHP 命令代碼,不需要任何特殊的開發環境。在 Web 頁面中,所有 PHP 代碼都被放置在 「?php」 和 「?」之間。PHP 存在著它自身獨有的一些安全問題。
比如:全局變數未初始化漏洞
PHP中的全局變數是不需要預先聲明的,他們會在第一次使用時自動創建,由 PHP 根據上下文環境自動確定變數的類型。這對於程序員而言是相當方便的,只要一個變數被創建,就可以在程序中的任何地方使用。,但也導致在 PHP 程序的編寫過程中,程序員很少初始化變數,通常都直接使用創建默認的空值。這使得攻擊者可以通過給全局變數賦值來欺騙代碼,執行惡意的目的
PHP 安全性真的很高嗎
軟體的安全性還是需要靠設計師的專業而定一般來說 php 如果在撰寫時還是會有許多漏洞所以不能用安全性來評價 php,不過以程序本身,因為發展環境較簡易,所以產生臭蟲、或病毒的機會比較低。以網頁程序來說,PHP 配合 Apache Server 效能是最好的,相較其他的 ASP、ASP.NET 同等級的硬體,可以展現最佳的成效,所以PHP 的效能是比較高。以上是 PHP 的安全性回答,希望能解決您的問題嘍~軟體的安全性還是需要靠設計師的專業而定一般來說 php 如果在撰寫時還是會有許多漏洞所以不能用安全性來評價 php,不過以程序本身,因為發展環境較簡易,所以產生臭蟲、或病毒的機會比較低。以網頁程序來說,PHP 配合 Apache Server 效能是最好的,相較其他的 ASP、ASP.NET 同等級的硬體,可以展現最佳的成效,所以PHP 的效能是比較高。
問:php網站的安全性考慮都有哪些
大家都知道PHP已經是當前最流行的Web應用編程語言了。但是也與其他腳本語言一樣,PHP也有幾個很危險的安全漏洞。所以在這篇教學文章中,我們將大致看看幾個實用的技巧來讓你避免一些常見的PHP安全問題。
大家都知道PHP已經是當前最流行的Web應用編程語言了。但是也與其他腳本語言一樣,PHP也有幾個很危險的安全漏洞。所以在這篇教學文章中,我們將大致看看幾個實用的技巧來讓你避免一些常見的PHP安全問題。
技巧1:使用合適的錯誤報告
一般在開發過程中,很多程序員總是忘了製作程序錯誤報告,這是極大的錯誤,因為恰當的錯誤報告不僅僅是最好的調試工具,也是極佳的安全漏洞檢測工具,這能讓你把應用真正上線前儘可能找出你將會遇到的問題。
當然也有很多方式去啟用錯誤報告。比如在 php.in配置文件中你可以設置在運行時啟用
啟動錯誤報告
error_reporting(E_ALL);
停用錯誤報告
error_reporting(0);
技巧2:不使用PHP的Weak屬性
有幾個PHP的屬性是需要被設置為OFF的。一般它們都存在於PHP4裡面,而在PHP5中是不推薦使用的。尤其最後在PHP6裡面,這些屬性都被移除了。
註冊全局變數
當 register_globals 被設置為ON時,就相當於設置Environment,GET,POST,COOKIE或者Server變數都定義為全局變數。此時你根本不需要去寫 $_POST[‘username’]來獲取表單變數’username’,只需要’$username’就能獲取此變數了。
那麼你肯定在想既然設置register_globals 為 ON 有這麼方便的好處,那為什麼不要使用呢?因為如果你這樣做將會帶來很多安全性的問題,而且也可能與局部變數名稱相衝突。
比如先看看下面的代碼:
if( !empty( $_POST[‘username’] ) $_POST[‘username’] == 『test123′ !empty( $_POST[‘password’] ) $_POST[‘password’] == 「pass123″ )
{
$access = true;
}
如果運行期間, register_globals 被設置為ON,那麼用戶只需要傳輸 access=1 在一句查詢字元串中就能獲取到PHP腳本運行的任何東西了。
在.htaccess中停用全局變數
php_flag register_globals 0
在php.ini中停用全局變數
register_globals = Off
停用類似 magic_quotes_gpc,magic_quotes_runtime, magic_quotes_sybase 這些MagicQuotes
在.htaccess文件中設置
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在php.ini中設置
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
技巧3:驗證用戶輸入
你當然也可以驗證用戶的輸入,首先必須知道你期望用戶輸入的數據類型。這樣就能在瀏覽器端做好防禦用戶惡意攻擊你的準備。
技巧4:避免用戶進行交叉站點腳本攻擊
在Web應用中,都是簡單地接受用戶輸入表單然後反饋結果。在接受用戶輸入時,如果允許HTML格式輸入將是非常危險的事情,因為這也就允許了JavaScript以不可預料的方式侵入後直接執行。哪怕只要有一個這樣漏洞,cookie數據都可能被盜取進而導致用戶的賬戶被盜取。
技巧5:預防SQL注入攻擊
PHP基本沒有提供任何工具來保護你的資料庫,所以當你連接資料庫時,你可以使用下面這個mysqli_real_escape_string 函數。
$username = mysqli_real_escape_string($GET[‘username’] );
mysql_query( 「SELECT * FROM tbl_employeeWHERE username = 』」.$username.「『」);
好了,在這篇簡短的文章中,我們闡述了幾個開發過程中不能忽視的PHP安全性問題。但是最終是否使用,如何使用還是開發人員來決定的。希望這篇文章能幫助到你們。
PHP如何安全地使用
php開發過程中,需要注意的安全細節,其實不只是php其它語言通用。
作為PHP程序員,特別是新手,對於互聯網的險惡總是知道的太少,對於外部的入侵有很多時候是素手無策的,他們根本不知道黑客是如何入侵的、提交入侵、上傳漏洞、sql
注入、跨腳本攻擊等等。作為最基本的防範你需要注意你的外部提交,做好第一面安全機制處理防火牆。
規則 1:絕不要信任外部數據或輸入
關於Web應用程序安全性,必須認識到的第一件事是不應該信任外部數據。外部數據(outside data)
包括不是由程序員在PHP代碼中直接輸入的任何數據。在採取措施確保安全之前,來自任何其他來源(比如 GET 變數、表單
POST、資料庫、配置文件、會話變數或Cookie)的任何數據都是不可信任的。
規則 2:禁用那些使安全性難以實施的PHP設置
已經知道了不能信任用戶輸入,還應該知道不應該信任機器上配置 PHP 的方式。例如,要確保禁用 register_globals。如果啟用了
register_globals,就可能做一些粗心的事情,比如使用 $variable 替換同名的 GET 或 POST 字元串。通過禁用這個設置,PHP
強迫您在正確的名稱空間中引用正確的變數。要使用來自表單 POST 的變數,應該引用 $_POST[‘variable’]。這樣就不會將這個特定變數誤會成
cookie、會話或 GET 變數。
規則 3:如果不能理解它,就不能保護它
一些開發人員使用奇怪的語法,或者將語句組織得很緊湊,形成簡短但是含義模糊的代碼。這種方式可能效率高,但是如果您不理解代碼正在做什麼,那麼就無法決定如何保護它。
規則 4:「縱深防禦」 是新的法寶
本教程將用示例來說明如何保護在線表單,同時在處理表單的 PHP 代碼中採用必要的措施。同樣,即使使用 PHP regex 來確保 GET
變數完全是數字的,仍然可以採取措施確保 SQL
查詢使用轉義的用戶輸入。縱深防禦不只是一種好思想,它可以確保您不會陷入嚴重的麻煩。既然已經討論了基本規則,現在就來研究第一種威脅:SQL 注入攻擊。
PHP安全初探:什麼是PH
由於這是一個語言結構而非函數,因此它無法被變數函數調用。
注: empty() 只檢測變數,檢測任何非變數的東西都將導致解析錯誤。換句話說,後邊的語句將不會起作用: empty(addslashes($name))。
原創文章,作者:XPEJ,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/146265.html
微信掃一掃 
支付寶掃一掃 