【 安全模式 】 PHP的安全模式提供一个基本安全的共享环境,在一个有多个用户帐户存在的PHP开放的Web服务器上。当一个Web服务器上运行的PHP打开了安全模式,那么一些函数将被完全的禁止,并且会限制一些可用的功能。[ 使用安全模式来强制限制 ]在安全模式下,一些尝试访问文件系统的函数功能将被限制。运行Web服务器用户ID,如果想要操作某个文件,则必须拥有该文件读取或者写入的访问权限,实现这个限制功能对于PHP来说是没有问题...
另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.in...
代码如下:function my_addslashes($string, $force = 0) { !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = my_addslashes($val, $force); } } else { $string = addslashes($string); } } return $string; } foreach(array('_COOKIE', '_POST', '_GET') as $_request) { f...
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了 随机串代码实现...
中英结合的方式果然不错。我以前曾转载国人对于php安全编程的总结。有人说是老生长谈。这回看看外国朋友的作品。 据最新的调查,php语言的使用率竟超过了老牌语言c++,成为使用率第三位的编程语言。它有很多有用的功能,不过可能出现的问题也不少。这篇文章就列出了五条常用的建议以帮助你创造安全的php应用。 PHP is one of the most popular programming languages for the web. Sometimes a feature-friendly language can help...
关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。例如,下面的数据元素可以被认为是安全的,因为它们是在 PHP 中设置的。PHP安全防护清单 1. 安全无暇的代码< ?php $myUsername = ‘tmye...
在学习您的用户可能十分优秀,并且大多数用户可能完全按照期望来使用应用程序。但是,只要提供了输入的机会,也就极有可能存在非常糟糕的输入。作为一名应用程序开发人员,您必须阻止应用程序接受错误的输入。仔细考虑用户输入的位置及正确值将使您可以构建一个健壮、安全的应用程序。下面列出了适用于各种验证数据的一般验证提示:使用白名单中的值始终重新验证有限的选项使用内置转义函数验证正确的数据类型(如数字) 白名单中的...
Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的确写的很棒, 考虑到了很多方面,我这个文章只是狗尾续貂,补充一些其它没怎么提到的问题。本文侧重于解决问题,而不是 攻击。 1、古老的欺骗SQL语句 在默认模式下,即使是你忘了把php.ini拷到/usr/local/lib/php.ini下,php还是打开magic_quotes_gpc=on。 这样所有从GET/POST/Cookie来的变量的单引号(')、双引号(")、反斜杠backslash()以及空字元NUL ...
php的四个函数exec,shell_exec,system,passthru可以执行系统指令,对系统安全构成威胁,如果不用的话可以将其关闭 代码如下 vim /etc/php.ini去掉disable_functions前注释,编辑内容如下代码如下 disable_functions = exec,shell_exec,system,passthru,popen友情提示,有朋友说想过滤eval函数,在php中这个不是函数无法在disable_functions禁止的哦http://www.bkjia.com/PHPjc/629602.htmlwww.bkjia.comtruehttp://www.bkjia.com/P...
我们知道Web上提交数据有两种方式,一种是get、一种是post,那么很多常见的sql注射就是从get方式入手的,而且注射的语句里面一定是包含一些sql语句的,因为没有sql语句,那么如何进行,sql语句有四大句: select 、update、delete、insert那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢? 于是我们使用正则就构建如下函数:代码如下 /* 函数名称:inject_check() 函数作用:检测提交的值是不是含有SQL注射的字符...
本文章简单的利用一个实例来介绍了关于php防止sql注入的简单办法,有需要学习的朋友可以参考一下本文章哦。 方法一:密码比对 思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对。 代码: 代码如下$sql="select password from users where username=$name";$res=mysql_query($sql,$conn);if ($arr=mysql_fetch_assoc($res)){//如果用户名存...
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和S...
(1) 打开php教程的安全模式php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:safe_mode = on(2) 用户组安全当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。建议设置为:safe_m...
/** * @name date safe class 0.1 * @author kevin xu * @copyright kenvin E-mail:gincn@cn.cashboxparty.com MSN:gincn@live.cn */ interface dateSafe{function gincn(); } class safe extends doSafe implements dateSafe {public $safe;function __construct($safe){parent::__construct($safe); //调用父类构造函数,网友javachen找出来的错误$this->safe = $safe;}function gincn(){$this->safe = parent::xss($this-...
问题 关于register globals设置为TRUE的危害 解决方法 关于register globals设置为TRUE的危害 应该很多人看过把register globals设置为on是非常危险的,但是怎么危险法呢??应该很多新手不知道的!所以我就简单说说register globals设置为on的危害吧! 先看看下面的代码: 在config.php文件中有一下的代码: $GLOBALS[‘host’] = 'localhost';$GLOBALS[‘username’] = 'root';$GLOBALS[‘password’] = '';$GLOBALS[‘database’] ...