PHP安全設置（轉載）

你們都知道PHP已是當前最流行的Web應用編程語言了。可是也與其餘腳本語言同樣，PHP也有幾個很危險的安全漏洞。因此在這篇教學文章中，咱們將大體看看幾個實用的技巧來讓你避免一些常見的PHP安全問題。

 

 

技巧1：使用合適的錯誤報告

通常在開發過程當中，不少程序員老是忘了製做程序錯誤報告，這是極大的錯誤，由於恰當的錯誤報告不只僅是最好的調試工具，也是極佳的安全漏洞檢測工具，這能讓你把應用真正上線前儘量找出你將會遇到的問題。

固然也有不少方式去啓用錯誤報告。好比在 php.in 配置文件中你能夠設置在運行時啓用

啓動錯誤報告

1	error_reporting(E_ALL);

 

停用錯誤報告

1	error_reporting(0);

 

技巧2：不使用PHP的Weak屬性

有幾個PHP的屬性是須要被設置爲OFF的。通常它們都存在於PHP4裏面，而在PHP5中是不推薦使用的。尤爲最後在PHP6裏面，這些屬性都被移除了。

 

註冊全局變量

當 register_globals 被設置爲ON時，就至關於設置Environment，GET,POST,COOKIE或者Server變量都定義爲全局變量。此時你根本不須要去寫 $_POST['username']來獲取表單變量'username'，只須要'$username'就能獲取此變量了。

 

那麼你確定在想既然設置 register_globals 爲 ON 有這麼方便的好處，那爲何不要使用呢？由於若是你這樣作將會帶來不少安全性的問題，並且也可能與局部變量名稱相沖突。

 

好比先看看下面的代碼：

1	if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty($_POST['password'] ) && $_POST['password'] == 「pass123″ )

2

{

3	$access = true;

4

}

 

若是運行期間, register_globals 被設置爲ON，那麼用戶只須要傳輸 access=1 在一句查詢字符串中就能獲取到PHP腳本運行的任何東西了。

 

在.htaccess中停用全局變量

1	php_flag register_globals 0

 

在php.ini中停用全局變量

1	register_globals = Off

 

停用相似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 這些Magic Quotes

在.htaccess文件中設置

1	php_flag magic_quotes_gpc 0

2	php_flag magic_quotes_runtime 0

 

在php.ini中設置

1	magic_quotes_gpc = Off

2	magic_quotes_runtime = Off

3	magic_quotes_sybase = Off

 

技巧3:驗證用戶輸入

你固然也能夠驗證用戶的輸入，首先必須知道你指望用戶輸入的數據類型。這樣就能在瀏覽器端作好防護用戶惡意攻擊你的準備。

 

技巧4：避免用戶進行交叉站點腳本攻擊

在Web應用中，都是簡單地接受用戶輸入表單而後反饋結果。在接受用戶輸入時，若是容許HTML格式輸入將是很是危險的事情，由於這也就容許了JavaScript以不可預料的方式侵入後直接執行。哪怕只要有一個這樣漏洞，cookie數據均可能被盜取進而致使用戶的帳戶被盜取。

 

技巧5：預防SQL注入攻擊

PHP基本沒有提供任何工具來保護你的數據庫，因此當你鏈接數據庫時，你可使用下面這個mysqli_real_escape_string 函數。

1	$username = mysqli_real_escape_string( $GET['username'] );

2	mysql_query( 「SELECT * FROM tbl_employee WHERE username = ’」.$username.「‘」);

 

好了，在這篇簡短的文章中，咱們闡述了幾個開發過程當中不能忽視的PHP安全性問題。可是最終是否使用，如何使用仍是開發人員來決定的。但願這篇文章能幫助到大家。