PHP编程注意事项

最新推荐文章于 2021-04-08 16:28:35 发布
最新推荐文章于 2021-04-08 16:28:35 发布
阅读量9.4k 收藏 10
点赞数
分类专栏: PHP 文章标签: php 编程 encoding zend 数据库 ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aw_vip/article/details/3451236
版权
本文探讨了PHP编程中urldecode和intval函数的安全使用,强调了在处理用户输入时防止注入攻击的重要性。
摘要由CSDN通过智能技术生成
【PHP安全几则tips】
1. 输入输出安全

(1)关闭 register_global 选项( php4及以前),初始化所有变量,能防止调用未定义变量notice错误,也能够防范一些hacker行为

(2)接收任何变量的时候,务必记住:所有用户输入都是不安全的!如果确定用户输入数据是整数(比如ID之类),可以使用(int)或intval()函数强制类型转换,如果是字符串类型,使用 addslashes 或 mysql_escape_string(如果考虑数据库 编码请连接数据库后使用 mysql_real_escape_string更安全,针对GBK等 编码,使用该函数能够防范目前很多GBK 编码爆出的注入漏洞)注1

(3)输出数据的时候,如果害怕html,可以使用strip_tags全部过滤,或者使用 htmlspecialchars 进行html标签转义保证输出到页面不会构成威胁,另外,最好输入或者输出的时候过滤所有的<script><iframe><object>等标记和内容,有时候<style>或作为属性的style也最好过滤一下

注1:问题来自多字节编码。例如在GBK里,0xbf27并不是一个合法的双字节字符,因此addslash()会把它转义成0xbf5c27,碰巧0xbf5c是一个合法的双字节字符,由此可以注入一个0x27 (')。addslash()和mysql_escape_string无药可救。mysql_real_escape_string()可以根据字符集正确地转义,但是需要在建立数据库联接的时候指明“SET CHARACTER SET 'GBK'”。


2. php系统安全

(1)打开 safe_mode 是最重要的,同时设置 open_ba sedir, safe_mode_include_dir,safe_mode_exec_dir 等选项

(2)当要操作或者包含文件的时候,使用realpath 和 basename 检查文件是否是本地文件

(3)如果很多危险函数如果不使用,建议关闭,关闭函数修改disbale_functions选项,比如很多命令执行函数、eval、phpinfo 等函数

(4)如果不需要上传文件功能可以关闭,如果需要记得设置 post_max_size 选项为你合适的大小,否则文件系统很容易被塞满,并且move_ uploaded_ file来操作上传的文件,而且不是使用copy

(5)把库文件(.inc)和数据文件(数据信息,配置信息,sqlite数据库等)不要与 web目录放在一起,防止被下载
 
 
 
 
 

小议urldecode等函数的安全使用

urldecode函数在很多程序中是经常使用的,对用户提交的某些字符进行URL解码,防止一些字符截断之类的问题出现
最低0.47元/天 解锁文章
Warning: json_encode() expects parameter 2 to be long, string given in
梦里逆天的博客
11-11 2425
<b>Warning</b>: json_encode() expects parameter 2 to be long, string given in <b>D:\software\phpEnv\www\localhost\service_coupon_system\app\controller\BaseController.php</b> on line <b>80</b><br /> https://www.it13
【踩坑系列】strpos() expects parameter 1 to be string, int given
热门推荐
NDSC_L的博客
12-15 1万+
如图:意思是参数错误 一个非常愚蠢的错误,解决方法如下 修改为:
php出现:expects parameter 1 to be mysqli, string given in错误解决方法
拖烂鞋博客
11-29 6419
网上查到(红狼大大)大神的介绍,解决了。 mysqli_select_db() expects parameter 1 to be mysqli, string given 原因是函数使用参数顺序错误。 主要原因时**mysql_select_db()与mysqli_select_db()**的参数位置刚好相反! mysql和mysqli一个字母之差,用法却不同 一般mysql_select_db()是这样写 mysql_select_db($database,$conn); 而mysqli_select
php数组函数(一)
逃跑的浣熊
03-15 988
is_array is_array – 检测变量是否是数组 说明: is_aray(mixed $var):bool 如果 $var 是array,则返回true,否则返回false arr=[1,2,3];vardump(isarray(arr = [1,2,3]; var_dump(is_array(arr=[1,2,3];vard​ump(isa​rray(arr)); // bool(true) str="123";vardump(isarray(str = "123"; var_dump(is_a
Warning: mysqli_fetch_assoc() expects exactly 1 parameter, 2 given in求解决
weixin_44126937的博客
02-18 2806
$sql = “select * from a;”; $obj = mysqli_query($link , $sql); echo "<table width = '600' border = '1'>"; echo '<th>id</th><th>姓名</th><th>年龄</th><th>...
基于PHP编程注意事项的小结
10-27
综上所述,理解PHP中这些常见的编程注意事项对于编写高质量的PHP代码至关重要。在开发过程中,应当注意运算符的优先级、遵循变量命名的大小写规则,并正确处理序列化数据,以减少潜在的错误和问题。同时,时刻关注...
汇总PHP编程注意事项.doc
01-12
以下是一些重要的注意事项: 1. **三元操作符的优先级问题**: PHP中的三元操作符`?:`有时可能导致混淆,特别是与其他运算符结合使用时。例如,在`$person = $who or $person = "laruence"`这行代码中,实际上它...
Ubuntu使用+Thinkphp5学习——19(新增用户报错strip_tags() expects parameter 1 to be string, array given)...
weixin_30321449的博客
03-10 817
开始以为是用户名长度的问题。感觉越来越不对劲,与代码实现的功能完全相反。 后来发现原理是少了一个"!"。 // 新增管理员 public function insert(){ $data=input('post.'); $val=new UserValidate(); if(!$val->ch...
UrlEncode C源码
嵌入式开发记录
04-08 568
int UrlEncode(const char *str, char *result, const int max_length) { int i; int j = 0; char ch; int strSize = strlen(str); if ((str == NULL) || (result == NULL) || (strSize <= 0) || (max_length <= 0)) { return 0;
parse_url   解析 URL,返回其组成部分
lxw1844912514的博客
06-28 1091
parse_url — 解析 URL,返回其组成部分 array parse_url ( string $url [, int $component = -1 ] ) 本函数解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分。 本函数不是用来验证给定 URL 的合法性的,只是将其分解为下面列出的部分。不完整的 URL 也被接受,parse_url() 会...
php访问数据库出错:Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given i
tasty
10-07 1万+
$result = mysql_query("SELECT * FROM `liebiao` WHERE leixing = '女连衣裙'",$con) or die(mysql_error()); 加上or die(mysql_error()) 看看报错~ ------------------------ mysql_query执行成功就返回资源形变量~否则返回false~所以造成了以上报错~
expects parameter 1 to be resource, array given 错误解析
weixin_30770783的博客
04-13 2183
被弄恶心了。字面上就是传递的参数不是资源类型 判断fetch_Array($query) 中传递的参数 $query 是不是资源就行了,试用@屏蔽错误不是一个好的程序员应该做的, is_resource-- 检测变量是否为资源类型 if(is_resource($query)) 一切OK了! 转载于:https://www.cnblogs.com/kakaxi/archiv...
PHP编程注意事项及常见问题解决技巧
PHP编程中,有一些注意事项需要严格遵守以确保代码的正确性和效率。本文将对一些重要的注意事项进行总结和分析。 首先是关于PHP隐性的三元操作符(?:)优先级问题。在PHP中,三元操作符是一种简洁的条件赋值语法,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值