Basic PHP Security (PHP安全基础)

最新推荐文章于 2022-01-12 13:44:44 发布
最新推荐文章于 2022-01-12 13:44:44 发布
阅读量1.6k 收藏
点赞数
分类专栏: 网络心得 文章标签: php security basic email 数据库 html

译者:落叶

备注:很少翻译东西的,由于能力问题,文中错误或不妥之处望大家指出。

------------------------------------------------

序言
最近,PHP的安全成为很热门的一个话题,尤其是伴随漏洞利用和安全问题的增加。今时今日,你必须确保你的PHP脚本无懈可击。
要保证你PHP脚本的安全,这些是基础的开始:过滤输入和输出。如果你还没有严格地开展这项工作,你的脚本将经常出现安全问题。阅读本文来了解如何正确的做好这两件事。
过滤所有的输入
当你的脚步读取任何从外部的代码输入,这行为是看作不安全和不被信任的。通常不被信任的变量为: $_POST,$_GET,$_REQUEST 和 $_SERVER ,这些看上去不可靠,同样能够包含危险数据。
在你做进一步处理危险变量之前,你得先证实它可能被过滤。证实工作中你要确保它只包含你想要的数据。例如,一个E-mail地址,程序的函数要确保它是只能是一个合法的E-mail地址。
看一个简单的例子来告诉你们我想说的。在下面的代码中,我用$_POST变量来得到这个E-mail地址,然后继续数据证实。
<?php
$email = $_POST['email']; # 从这一点,它仍然不安全

// 确认E-mail
if (valid_email($email) == false) {
    // Not a valid e-mail address
    die('Invalid E-mail Address!');
}
?>
通过检查数据,我们脚步被注入的可能性已经极大地减小了。valid_email() 是一个标准的函数。
虽然我们的数据已经更安全了,但我们还没完成它,因为我们还需要把数据输入Mysql数据库,也就是说我们必须确保数据传送的安全。PHP有一个能避免所有重要字符的函数——mysql_real_escape_string()。另外一个好的方法是把数据放在SQL查询的字符中(需要数据库允许)。
继续我们先前的例子,看这里:
<?php
$email = $_POST['email']; # 在这里它还是不安全

// 证实E-mail
if (valid_email($email) == false) {
    // 不是一个合法的e-mail
    die('Invalid E-mail Address!');
}

// 确认E-mail对数据库安全
$email = mysql_real_escape_string($email);

// 现在都安全了
?>

现在数据已经安全了, 能不出错的记录进Mysql数据库了. 要帮助避免错误,它是一个能够提供特殊和危险变量加一个前缀的聪明东西。例如:


<?php
$d_Email = $_POST['email']; # Dangerous

// Do validation

$s_Email = mysql_real_escape_string($d_Email);
?>

通过这个你很快会发现,当你尝试提交一个危险的添写一个危险的变量,它将出现一个 d_ variable已经输入。我自己从不用这方法,但你以前习惯这样,它会是一根救命稻草!

避免输出
它就像输入数据一样,甚至当你正从数据库获得“安全”数据(已经通过输入过滤)时,所有的输出同样需要被过滤。我刚刚讨论的变量也必须在显示前被过滤。
HTML 标签是最需要注意过滤的,因为他们会引起许多损害。最简单的方式就是用自动过滤所有HTML的函数—— htmlentities() function ,像这样:
<?php
echo htmlentities($_GET['email']);
?>
这段代码除去了被CSS攻击(攻击者可能将JavaScrip代码注入页面,然后窃取用户的Cookies)的可能性。如果这出现,你需要用 htmlentities函数的第三个自变量。甚至Google也不能免疫漏洞,他们忽略在过滤HTML是忽略了编译,从而引发了XSS攻击。在Chris Shiflett的博客上你可以看到更多关于这个漏洞的信息,不过在根本上你需要一直校正编译类型。
<?php
echo htmlentities($_GET['email'], ENT_QUOTES, 'UTF-8');
?>
如果你不想过滤所有的HTML标签,你可以用strip_tags() 来允许一小部分标签,不过需要注意它可能导致一些安全问题如:JavaScript代码注入到你的页面,即使你没允许 <script>。它仍然可能被利用“<div οnclick="alert('Hi!');">”。
另外种可能是你自己写函数(或者下载一个网络上许多人认为可用的)用来过滤你不想要的。这通常是一个好方法,但是如果你忽略了一些东西,它可能同样导致安全问题。
最后,过滤输出的最好办法是用htmlentities() 的所有三个自变量,不过他们只留下有限的功能。一个解决方法是开发自己能习惯于格式化数据的HTML代码。在 "Create your own BBCode, using PHP"里了解更多关于开发自己的HTML代码的信息。

结尾
这篇文章我讨论了两个PHP变成的基本原则。如果你能掌握这两项,你已经踏上PHP安全的大道了。
我给你们的例子是十分愚蠢和累赘的。我十分建议你们思考自动过滤的方法。你个好方法是写一个能自动做到必要的任务,或者一些函数做的工作。就算留给读者一个练习。
如果你想知道更多的PHP安全知识,参见一些安全建议。
- PHP Security Consortium: 出色的安全向导,包含大量信息. 可谓“必读”!

- Essential PHP Security: 基本的PHP安全书的主要信息, by Chris Shiflett, 它也包含一些免费的章节.


- Hardened-PHP:就其本身而言不仅仅是一个提供PHP安全信息的站点, 同样提供安全咨询。
如果你对本文有疑义,或者想参与PHP安全的讨论,回复,或者进入PHPit的社区。 

----------------------------------------

以上内容为翻文

落叶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Essential PHP Security -PHP安全基础(中文版)
Calvin.Body(phper)->(雪悟)自说自话
04-30 2486
第五章 包含随着PHP项目的增大,软件设计与组织在代码的可维护性上起着越来越重要的作用。尽管对于什么是最好的编程方式众说纷纭(关于面向对象优点的争论常常发生),但基本上每个开发者会理解和欣赏模块化设计的价值。本章说明了使用包含时会面临的安全问题。脚本中include或require的文件把你的应用分成了逻辑上分离的两部分。我还会着重强调和纠正一些常见的误解,特别是有关于如何编程的问题。小提示当使用
Modern PHP中文版
09-26
If you have a basic understanding of PHP and want to bolster your skills, this is your book., - Learn modern PHP features, such as namespaces, traits, generators, and closures, - Discover how to find...
PHP安全基础
02-22
PHP安全基础 介绍了常见的网络攻击手段 以及防御措施 写的不错 值得一看
[转] PHP Security
heiyeluren的blog(黑夜路人的开源世界)
07-14 6963
国外非常有名的一篇论述PHP安全的文章,把目前PHP代码中安全问题,包括全局变量、会话劫持等问题都探讨了一下,非常值得学习。原文地址:http://shiflett.org/php-security.pdf作者:Chris Shiflett我把文本粘贴上来,不好看的话,建议去看pdf文件。-------------------------------------------------------
[翻译] PHP安全PHP Security
heiyeluren的blog(黑夜路人的开源世界)
03-22 3103
[翻译] PHP安全[  原书信息 ]《SAMS Teach Yourself PHP in 10 Minutes》Author: Chris Newman    Publisher : Sams Publishing Pub Date : March 29, 2005 ISBN : 0-672-32762-7 Pages : 264 [  翻译信息 ]翻译人员:heiyeluren翻
PHP安全基础原则与方法
dcj3sjt126com的专栏
12-18 201
原则:1.2.1. 深度防范深度防范原则是安全专业人员人人皆知的原则,它说明了冗余安全措施的价值,这是被历史所证明的。深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞失效。一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。回到编程领域,坚持深度防范原则要求您时刻有一个备份方案。如果一个安全措施...
network-security-7:IT Ladkrabang Openhouse 2013 网络安全竞赛
06-20
包括专注于培养计算机伦理本源代码作为第 7 届网络安全竞赛 Ladkrabang IT House 2013 中的一道题,由 10 道与 Web Security、Networking 和 Basic Programming 相关的题组成,系统环境如下参赛者需要使用运行 ...
google api php client
10-24
This means that we will address critical bugs and security issues but will not add any new features. ## Google Cloud Platform For Google Cloud Platform APIs such as Datastore, Cloud Storage or Pub/...
php-security-scanner:适用于PHP的静态安全扫描程序
05-19
静态分析器安全扫描程序(适用于PHP) 这将检测将不安全变量传递给不安全函数参数的情况。 用法: bin/php-security-scanner scan path/to/files 它将搜索所有文件中的安全性问题。 例子 给出以下代码: <?php function bar () { foo ( $ _GET [ 'name' ]); } function foo ( $ name ) { mysql_query ( "SELECT * FROM foo WHERE name = '$name'" ); } ?> 在该文件上运行扫描程序将错误消息标识为4,并显示以下消息: 在对foo()参数编号1的调用中找到了可能SQL注入 支持的漏洞扫描程序: 当前,仅在有限的情况下,仅支持mysql_query 。
Pro PHP Security(Pro)
05-20
PHP is the world’s most popular open source web scripting language, installed on almost 17 million domains worldwide (www.php.net/usage.php). It is loved by beginners and embraced by advanced users. This book offers developers a complete guide to taking both defensive and proactive security approaches within their PHP applications. Pro PHP Security guides developers through many of the defensive and proactive security measures that can be taken to help prevent attackers from potentially disrupting site operation or destroying data. Moreover, this book covers a wide swath of security measures, showing readers how to create and deploy captchas, validate email, fend off SQL injection attacks, prevent cross-site scripting attempts, and more. About the Author Chris Snyder is employed at Fund for the City of New York (http://www.fcny.org/), where he develops next-generation websites and services for non-profit organizations. Michael Southwell is a retired English professor who has been developing websites for the past seven years. He’s the author/co-author of eight books and numerous articles on writing, writing and computers, and writing education. He is a Zend Certified Engineer.
ProPHPSecurity2ndEdition.pdf 英文原版
08-20
Pro PHP Security 2nd Edition
php-security,PHP - Manual: Security (官方文档)
weixin_36440198的博客
03-12 121
Request Injection AttacksIf you are passing $_GET (or $_POST)parameters to your queries, make sure that they are cast to strings first.Users can insert associative arrays in GET and POST requests, whi...
PHP代码安全基础1
ThegreatHaige的博客
01-12 2443
PHP代码安全基础 文章目录PHP代码安全基础一. 文件上传与下载1. 1文件上传1.2文件下载1.2文件修改核心:文件读写二.输入/出类2.1XSS2.2CSRF(XSRF) ​ 此主要是针对PHP代码中常见遇到或是涉及到的安全问题,总而言之就是安全很大程度是和功能相 挂钩的。因此往往功能越复杂,安全问题越容易产生。 一. 文件上传与下载 1. 1文件上传 <!-- 2022年1月10日00:16:06 总结:上传方式三种大类: 1.自写上传 2.编辑器上传
PHP脚本安全基础
疯狂才可以成就
01-06 484
PHP脚本安全基础:截断在文件包含和上传中的利用 http://forum.cnsec.org/thread-94539-1-1.html
CI框架源码解析十一之安全类文件Security.php
让编程改变世界
10-26 2923
CI框架安全类包含了一些方法,用于安全的处理输入数据,帮助你创建一个安全的应用。CI框架安全类提供了全局防御CSRF攻击和XSS攻击策略,只需要在配置文件开启即可并提供了实用方法: $config['csrf_protection'] = TRUE; $config['global_xss_filtering'] = TRUE; //实用方法 $this->
网络安全基础php基础语句
天那边的男孩
09-22 290
html基础html基础p ¥¥¥ h注释居中功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 html基础 简单搭建body /body 中间显示文件内容 显示 浏览器背景颜色 # 基础语句认识
Security Basic
yanzhou1224的专栏
02-21 344
<br />Secuirty包括下面4个概念:<br />Authentication: 探明客户端身份的过程。如果客户端成功通过服务器确认的话, 就说该客户authenticated. 如果没有,那么就叫anonymous. 这里就涉及到如果验证,客户端提供什么样的credentials.<br />Authorization:判断某个用户是否有访问某些特定资源或功能权限。<br />User Accounts:对某个用户的信息进行存储。一般存在关系数据库里面<br />Roles:不同角色可以获取不同规
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值