PHP代码安全点滴.pdfVIP

维普资讯 脚本小子：在黑客横行的时候．扣何让自己的PHP代码更安奎．如何保证程序和服务嚣的安全是糠重要 的问题．随便看了下关于PHP的安奎资料．并不是很多．至少~tASP少多了于是heiyeluren就写了这篇文章． 防止基些可能出现的情也．希望对大家有所启发。 ASP注入让很多ASP的程序员都非常恼火．但同 写如下 时ASP编码的安全性也在不短地提高在PHP编码的 时候．同样也要考虑到很多安全问题．不然PHP同样 能被攻击 下面我们就一起来看看有那几点是需要 注意的。 韧始化你的变量 我们看下面的代码 f。蟹 e~L1o 休车是崎删员．无法进行管理’ 我们看上面的代码好像是能正常运行．没有问 题 那么假如我提交一个非法的参数过去．那么效 果会如何昵 比如我们的这个页是 h~tp：／／www trageIcom／loginphp．那么我们提交 htlp：／／www 那么这时候你再提交http：／／wwwtargetcorn／ targetcom／loginphptadmin=’， 呵阿你想一想．我 aginphp?adrnin=1就不好使了．因为我们在一开始就 们是不是直接就是管理员可以直接进行管理了) 把变量初始化为Sadmin=OT．那么你就无法通过 当然 可能你会觉得不会犯这么简单错韵错 这个漏洞获取管理员权限。 误．可最近暴出来的phpwind13．6论坛漏洞，导致 能够直接拿到管理员权限．就是因为Sskin变量没有 防止seJ Injection 初始化．导致了后面一系列问题。 SQL注射应该是目前危害最大的攻击方法了 那么我们如何避免上面的问题呢 首先，从 包括ASP和PHP．都是国内这两年流行的技术 基本 phpini人手．把phpmi里面的register—g~obal=off 原理就是通过对提交变量的不过滤形成注人点然后 就是不是所有的注册变量为全局．那么就能避免 使恶意用户能够提交一些SQL查询语句．导致重要 了但是，我们不是服务器管理员．只能从代码上 数据被窃取、数据丢失损坏．或者直接被^侵者拿 改进了那么我们如何改进上面的代码呢，我们改 到后台管理权限。 维普资讯 我们既然了解了基本的注射人侵的方式 那 的．于是为了避免可能出现的其它情况 我们可以 么我们如何击防范呢 这个就应该彼们从代码人 再构建一个函数来进行检查 手 了。 ／‘ 我们知道Web上提交数据有两种方式 一种是 函数名称：verlfy—ld() GET、 一 种是POST．那么很多常见的SQL注射就是从 函数作用 幢齄提交的D『娄值是否合法 孝 敫 $Id：提文的lD值 GET方式八手的，而且注射的语句里面一定包含一些 返 回值 返回址理后的1l】 SOL语句．SQL语句有四大关键词 select、update 函救作者：heiyeluren deleteinsert。如果我们在提交的数据中进行过滤是 ·／ fur~tlon~rLFyjdf$id=n ) 不是能够避免这些问题呢 于是我们构建如下函数 if(!d】le：dt(。没有提文参 。l／／量看身望一一 eI鲥 (it~cLcheck($id))，exiK一提交的参戢非怯!。)： ／／盈