[ 原书信息 ] 《SAMS Teach Yourself PHP in 10 Minutes》 Author: Chris Newman Publisher : Sams Publishing Pub Date : March 29, 2005 ISBN : 0-672-32762-7 Pages : 264 [ 翻译信息 ] 翻译人员:heiyeluren 翻译时间:2006-3-15 翻译章节:《Lesson 24. PHP Security》 中文名称:PHP安全 PHP勿庸置疑是非常强大的服务器端脚本语言,但是强大的功能总是伴随着重大的危险,在这...
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全的,因为它们是在 PHP 中设置的。 清 单 1....
这几天由于一个安全度较高的项目需要启动 所以我也就把大部分精力放到了编码安全上面。也了解了一些PHP编码方面的安全漏洞。比如XSS攻击和SQL注入等。由于本人资历尚浅,不能尝试编写出攻击类代码,本篇文章只记录本人近几天通过学习PHP安全编码方面的一些知识来防止和降低被攻击的危险。 1.关于XSS攻击 首先我们先看一段PHP代码: < form action = " " > < inp...
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证 安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是...
第一章 简介 1> 原则 深度防范 最小权限 简单就是美 暴露最小化 2>方法 平衡风险与可用性 跟踪数据 过滤输入 输出转义 //****防止表单提交骗术session_start();$_SESSION[token] = md5(uniqid(mt_rand(), true)); //*****初始化一个用于保存过滤数据数组。 $clean = array(); if(ctype_alpha($_POST[name])){ $cle...
我有一些AJAX页面,提交并链接数据库,最近怀疑有人用fsockopen或者curl模拟POST表单,偷取我的数据库资料。 如何避免$_POST跨域提交? 可否在apache里设置?或者用$_SERVER之类的进行判别? 回复讨论(解决方案) 做个session判断 提交者的身份不行吗 1.如果能设定数据的访问权限,比如说只有登录会员才可查看,这样会给别人的抓取造成一定难度。但这个障碍总能被解决的。 2.分析访问日志,从服务器级别限制可疑IP...
一般我只检查后缀名, 比如上传abc.jpg,最后放在/xxx/ 但是今天看见一篇文章 原理是一段代码制作成JPG图片,然后上传。 这时就执行代码? 我百度了很久找到的都是10年前的资料,而且好像这个东西跟ASP相关的? 我想问这个PHP是否也有这个漏洞? 文件上传时只检查后缀是否安全? 回复讨论(解决方案) php也一样,上传以后,最好先判断是否是真实的图片文件,然后弄个透明水印上去,相当于“破坏”原图 php...
ckeditor 是一个可视化的编辑工具,当提交时,POST到服务器端的是“HTML代码”, 虽然在客户端的“所见即所得”模式下,会自动过滤一些不安全的代码,但并不能保证服务器端接收到的都是安全的HTML代码,ckeditor 是否提供有服务器端的HTML过滤工具? 回复讨论(解决方案) 客户端提交的数据本来就不是百分百的可靠,服务端做一些验证还是有必要的。 ckeditor 是否提供有服务器端的HTML过滤工具? 想知道这个插件是否有着...
前一段时间百度贴吧出过一个BUG,使用JS可以发超出边框的超大的图片。 这个是不是就是因为把有效性检查放到浏览器上用JS做了? 回复讨论(解决方案) 在客户端做的一切检查都不能保证安全性,需要在服务端再验证一遍。 有效性 ≠ 安全性
我感觉应该是这样: 1 接收带BBCode的文本。 2 带BBCode的文本直接存放到数据库中。 ----3.1 如果要显示,使用将带BBCode的文本转换成HTML的函数。 ----3.2 如果要编辑,直接将带BBCode的文本显示出来。 安全方面主要是屏蔽HTML标签。这个应该如何屏蔽?是在第一步接收的时候就直接加htmlspecialchars()么?这样会干扰将带BBCode的文本转换成HTML的函数么? 另外还有nl2br()这个函数。前面提到的三个函数的使用顺序应...
如果form表单传值的话赶紧不太安全。 比如说我要把某些参数hidden起来进行传值的话,然后我用chrome查看元素修改hidden里面的post的值的话,那么传值过去的就是我已经修改过的post值了。 不知道大家能不能看懂我的意思 回复讨论(解决方案) 可以用将军令 别开玩笑,我试过了,改完元素的话传值照样是可以传进去的 form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。 除非发送...
js根据php生成的js变量a=1表示有某种动作的权限,这样安全吗? 比如ajax请求后台某种动作,得到php生成的js变量 var permission=1; 然后前台js根据这个permission去执行某种操作。 回复讨论(解决方案) 问题不大,如果担心有问题可以加一些验证。 js根据php生成的js变量a=1表示有有 某种动作的权限,这样安全吗? 比如ajax请求后台某种动作,得到php生成的js变量 var permission=1; 然后前台js根据这个permissio...
在web开发中,针对数据库安全除了在程序上防止sql注入,还有哪些方面应该注意? 回复讨论(解决方案) 这种问题最难答了,想破脑袋呀。。 温馨提示:楼主这个问题太广泛了,要看用的什么数据库以及服务器软件。 如果你真的想知道,可否方便透露,使用的服务器及数据库软件。这样就稍微有针对性一点。 看你的安全等级需求吧...大众化的就这么搞行了 定期备份!!! 这个题目好大 基本上很多攻击都是针对数据...
一个网站在开发的时候 就需要考虑安全问题吗? 服务器安全除外 是不是只要做好了 上传、表单危险字符串过滤就可以了? XSS SQL 回复讨论(解决方案) xss sql注入 跨域攻击 特殊字符处理 哪有这么简单。 2. 输入验证和输出显示 2.1 命令注入 2.2 跨站脚本 2.3 文件包含 2.4 代码注入 2.5 SQL注入 2.6 XPath注入 2.7 HTTP响应拆分 2.8 文件管理 2.9 文件上传 2.10 变量覆盖 ...
php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,近期需要总结一下以往的问题,在这里借翻译一篇文章同时加上自己开发的一些感触总结一下。 简介 当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如开发一个论坛或者是一个购物车等。 安...