大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样,PHP也有几个很危险的安全漏洞。所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。 技巧1:使用合适的错误报告 一般在开发过程中,很多程序员总是忘了制作程序错误报告,这是极大的错误,因为恰当的错误报告不仅仅是最好的调试工具,也是极佳的安全漏洞检测工具,这能让你把应用真正上线前尽可能找出你将会遇到的...
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 对用户输入进行清理的一个简单方法是,使用正则表达式来处理它。 规则 2:禁用那些使安全性难...
以下为过滤HTML代码的函数: 代码如下:function ihtmlspecialchars($string) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = ihtmlspecialchars($val); } } else { $string = preg_replace(/&((#(\d{3,5}|x[a-fA-F0-9]{4})|[a-zA-Z][a-z0-9]{2,5});)/, &\\1, str_replace(array(&, ", <, >), array(&, ", <, >), $string)); } return $string; } php下过滤HTML代码的函数 代码如下:function ht...
一、apache server安全性设置 1、以Nobody用户运行 一般情况下,Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项,以Nobody用户运行Apache 达到相对安全的目的。 User nobody Group# -1 2、ServerRoot目录的权限 为了确保所有的配置是适当的和安全的,需要严格控制Apache 主...
在放假之初,我抽时间看了《白帽子讲web安全》,吴翰清基本上把web安全中所有能够遇到的问题、解决思路归纳总结得很清晰,也是我这一次整体代码安全性的基石。 我希望能分如下几个方面来分享自己的经验 把握整站的结构,避免泄露站点敏感目录 在写代码之初,我也是像很多老源码一样,在根目录下放上index.php、register.php、login.php,用户点击注册页面,就跳转到http://localhost/register.php。并没有太多的结构的思想,像这样...
本文实例讲述了PHP中使用addslashes函数转义的安全性原理分析。分享给大家供大家参考。具体分析如下: 先来看一下ECshop中addslashes_deep的原型代码如下:function addslashes_deep($value) { if (empty($value)) { return $value; //如为空,直接返回; } else { return is_array($value) ? array_map(addslashes_deep, $value): addslashes($value); } //递归处理数组,直至遍历所有数组元素; } ad...
如果你还在用md5加密,建议看看下方密码加密和验证方式。 先看一个简单的Password Hashing例子:<?php//require password.php; /*** 正确的密码是secret-password* $passwordHash 是hash 后存储的密码* password_verify()用于将用户输入的密码和数据库存储的密码比对。成功返回true,否则false*/ $passwordHash = password_hash(secret-password, PASSWORD_DEFAULT); echo $passwordHash; if (password_verify(bad-password, $pass...
1、httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id。 要用框架的ci_session,更长的位数,httponly,这些默认都配好了。 不要用原生的phpsession,而要用ci_session。ci_session位数更长。 如果要用原生的session,应该这样设置(php.ini): session.sid_length //sid的长度,这里要加长,默认的太短了 session.cookie_httponly = 1原生的session就会变成httponly了。 2、phpinfo 一定要关闭...
大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样,PHP也有几个很危险的安全漏洞。所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。 技巧1:使用合适的错误报告 一般在开发过程中,很多程序员总是忘了制作程序错误报告,这是极大的错误,因为恰当的错误报告不仅仅是最好的调试工具,也是极佳的安全漏洞检测工具,这能让你把应用真正上线前尽可能找出你将会遇到的...
谁能告诉我如何在Apache服务器中启用HSTS.启用此功能有哪些安全功能?解决方法:HSTS是一个HTTP标头,告诉客户端应始终通过HTTPS协议访问某个域/子域. 在您的httpd.conf中:# Optionally load the headers module: LoadModule headers_module modules/mod_headers.so<VirtualHost 67.89.123.45:443>Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;" </VirtualHost>(取自this article.) 我建议您...
我申请的主要途径如下http://example.com/login.php如果用户登录名和类型是卖方http://example.com/login.php/seller/index.php如果“用户登录名”和“呼叫者”类型为http://example.com/login.php/caller/index.php问题: 如果卖方已登录并且他/她更改了网址 http://example.com/login.php/seller/index.php 至 http://example.com/login.php/caller/index.php 因此,php允许更改整个模块.因此,如何防止卖方进入呼叫者模块.我的应用...
阅读了网站上的文章后,我变得非常担心自己服务器的安全性… 在一个PHP文件中,该文件稍后会显示在我显示给用户的所有主要php页面中,我的用户名和密码(在我的网站上使用-服务器根目录,mysql根目录等)以纯文本格式插入…是否在那里有什么需要担心的吗?任何人都可以读取php文件(例如下载并读取它,而不是让服务器执行该文件)吗? 我的用户名和密码有被盗的风险吗?它们是为变量提供值的简单文本字段. 如果是这样,您有什么建议的解决方法...
我在使用PHP做一些非常基本的会话安全类型的事情时遇到了困难: >从未经身份验证的上下文切换到经过身份验证的上下文时,应生成一个新的会话ID>从经过身份验证的上下文切换到未经身份验证的上下文时,应生成一个新的会话ID 我想做的不仅是在切换上下文时重新生成会话ID,而且还要在切换上下文时立即在会话中放入一些内容(例如FLASH).这三页有望阐明我的期望:<?php /* page1.php */ session_start(); # Just putting something in the...
目前我有一个存储了md5密码的数据库,几年前这被认为比现在更加安全,并且它已经达到了密码需要更加安全的程度. 我在这里读了很多关于crypt,md5,hash,bcrypt等的帖子,并考虑使用下面的内容来比现在更好地“保护”密码. 我将使用哈希(“sha512”和两个盐的组合,第一个盐将是存储在诸如.htaccess的文件中的站点范围的盐,并且将为每个用户创建第二个盐. 这是我现在正在测试的一个例子: 的.htaccessSetEnv SITEWIDE_SALT NeZa5Edabex?26...
我正在编写一个带有ajax身份验证的ajax应用程序,现在我开始在silex中使用symfony安全组件来处理身份验证/授权.使用简单配置进行简单测试,我通过防火墙进入受保护区域,我得到的响应是重定向到/ login页面,但我在应用程序中需要的是401响应,可能有其他信息(在标题或关于如何登录的json body.$app['security.firewalls'] = ['api' => ['pattern' => '^/api','logout' => ['logout_path'=>'/auth/logout'],'users' => $app->share(func...