确保PHP处理完毕,确保PHP安全的四条安全规则

最新推荐文章于 2024-07-25 08:41:28 发布
最新推荐文章于 2024-07-25 08:41:28 发布
阅读量87 收藏
点赞数
文章标签: 确保PHP处理完毕

有关PHP

安全的几条规则

规则 1:绝不要信任外部数据或输入

关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP

代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或

cookie)的任何数据都是不可信任的

例如,下面的数据元素可以被认为是安全的,因为它们是在 PHP

中设置的。

清单 1. 安全无暇的代码

以下为引用的内容:

$myUsername = ‘tmyer’;

$arrayUsers =

array(’tmyer’, ‘tom’, ‘tommy’);

define(”GREETING”, ‘hello there’ .

$myUsername);

?>

但是,下面的数据元素都是有瑕疵的。

清单 2. 不安全、有瑕疵的代码

以下为引用的内容:

$myUsername = $_POST['username'];

//tainted!

$arrayUsers = array($myUsername, ‘tom’, ‘tommy’);

//tainted!

define(”GREETING”, ‘hello there’ . $myUsername);

//tainted!

?>

为 什么第一个变量 $myUsername 是有瑕疵的?因为它直接来自表单

POST。用户可以在这个输入域中输入任何字符串,包括用来清除文件或运行以前上传的文件的恶意命令。您可能会问,“难道不能使用只接受字母 A-Z

的客户端(Javascrīpt)表单检验脚本来避免这种危险吗?”是的,这总是一个有好处的步骤,但是正如在后面会看到的,任何人都可以将任何表单下载

到自己的机器上,修改它,然后重新提交他们需要的任何内容。

解决方案很简单:必须对 $_POST['username'] 运行清理代码。如果不这么做,那么在使用 $myUsername

的任何其他时候(比如在数组或常量中),就可能污染这些对象。

对用户输入进行清理的一个简单方法是,使用正则表达式来处理它。在这个示例中,只希望接受字母。将字符串限制为特定数量的字符,或者要求所有字母都是小写的,这可能也是个好主意。

清单 3. 使用户输入变得安全 www~phperz~com

以下为引用的内容:

$myUsername = cleanInput($_POST['username']);

//clean!

$arrayUsers = array($myUsername, ‘tom’, ‘tommy’);

//clean!

define(”GREETING”, ‘hello there’ .

訫立史
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈PHP中的错误处理和异常处理
10-20
4. `catch`块执行完毕后,程序将继续从`try-catch`结构之后的代码执行。 以下是一个简单的异常处理示例: ```php try { echo "11111111 "; $file = @fopen("./hello.txt", "r"); if (!$file) { throw new ...
基于PHP的风控后台系统和风控规则引擎.doc
08-30
风控后台系统是企业确保金融交易安全的关键组成部分,尤其在支付、信贷、金融理财等领域中扮演着重要角色。本文将深入探讨基于PHP实现的风控后台系统和风控规则引擎的设计与实施,以及它们如何协同工作来保障网络...
确保PHP安全四条安全规则
我的地盘
09-06 460
有关PHP安全的几条规则规则 1:绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的
php安全规范,PHP安全规则
weixin_35712571的博客
03-09 139
PHP安全规则PHP安全规则请参考产品安全检查表。输入和输出检查是否做了HTML代码的过滤可能出现的问题:如果有人输入恶意的HTML代码,会导致窃取cookie, 产生恶意登录表单,和破坏网站检查变量做数据库操作之前是否做了escape可能出现的问题:如果一个要写入查询语句的字符串变量包含了某些特殊的字符,比如引号(’ ,”)或者分号(;) 可能造成执行了预期之外的操作。建议采用的方法:使用mys...
Web安全——PHP基础
钟言的博客
06-28 1600
本篇为Web安全基础的php基础,其中包含PHP简述以及基本语法格式,数据类型、常量以及字符串,运算符,控制语句,数组的声明以及操作,函数的定义以及参数,匿名函数、回调函数,变量作用域,类以及对象,析构函数,继承,方法重写,访问控制,以及超级全局变量,文件处理的操作,文件文件打开、读取、关闭,以及获取文件属性目录操作命名空间,最后提及了正则表达式,PHP与MYSQL······
WEB安全 PHP基础
Likhaooo的博客
12-12 3709
文章目录1.PHP简述2.基本语法格式3.数据类型、常量以及字符串7.PHP 函数8.PHP 变量作用域9.类与对象10.PHP超级全局变量11.PHP Include 文件12.PHP 文件处理12.1.PHP 操作文件12.2.PHP 文件打开/读取/关闭12.3.文件的 复制 删除 重名12.4.文件的判断13.PHP获取文件属性14.PHP目录操作15.命名空间16.正则表达式17.php与mysql 1.PHP简述 PHP(全称:PHP:Hypertext Preprocessor,即"PHP:超
后端代码审计——PHP函数及PHP危险函数
来日可期的博客
08-18 1236
PHP 中有一些函数是比较危险的,也是进行PHP 代码审计的时候需要重点关注的内容。
【反序列化】万字详解php反序列化漏洞
Yuppie001的博客
06-16 1203
编程范式是编写和组织计算机程序的方法或风格。程序员根据不同项目的需求选择适合的编程范式。程序的开发过程中有两种编程方法:面向对象(OOP)和面向过程(Procedural Programming)两种,php语言支持两种范式进行编程。当程序在进行反序列化时,会自动调用一些函数,例如__wakeup(),__destruct()等魔术方法,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。
PHP如何处理输入数据和输出数据?
破损的天堂鸟博客
07-25 986
INPUT: 指定输入来源,可以是INPUT_GETINPUT_POSTINPUT_ENV等。name: 指定要过滤的变量名称。$options: 可选参数,用于指定过滤规则和其他选项。通过上述步骤和示例代码,我们可以看到如何在PHP中有效地使用和进行数据编码和解码。
PHP 面试题汇总
weixin_55347832的博客
05-11 2286
PHP CSRF 和 XSS 攻击分别代表什么 CSRF :跨站请求伪造,用户通过跨站请求,以合法用户身份做非法的事情 防范: token 验证 Referer 验证: Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截 XSS:跨站脚本攻击,是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式 防范: 校验:对用户输入的数据进行HTML Entity 编码
web安全基础--文件上传笔记
m0_57291352的博客
05-05 1032
课程: https://www.bilibili.com/video/BV1VA411u7Tg?p=10 文件上传 一些web应用程序允许上次图片、视频、头像和许多其他类型的文件到服务器中。文件上传漏洞就是利用服务器代码对文件上传路径变量过滤不严格将可执行的文件上传到一个服务器中,再通过URL去访问以执行恶意代码 举例危险代码 一句话木马 <?php eval($_POST[0]);?> <?php phpinfo();?> jsp木马 <%Runtime.getRuntim
基于PHP的杰奇网站地图分类生成插件源码.zip
10-14
PHP支持多种数据库,如MySQL,可以处理各种服务器端任务,如表单处理、会话控制、文件上传等。 接着,我们来看杰奇CMS系统。杰奇CMS(JQCMS)是一个基于PHP和MySQL的开源内容管理系统,为用户提供了一套完整的建站...
深入理解PHP原理之错误抑制与内嵌HTML分析
12-18
PHP编程中,深入理解错误抑制与内嵌HTML的处理方式是...同时,结合其他PHP特性,如异常处理、作用域规则、操作码(OpCodes)和生命周期管理,能够帮助开发者深入理解PHP的工作原理,从而编写出更加优秀和安全的代码。
新手必看 php编程规范
07-16
- 同一内容处理完毕后,使用空行与下一个部分隔开。 3. **空格规则**: - 逻辑运算符前后应添加空格,例如 `$a == $b`,但`++`和`--`操作符例外。 - 函数参数列表中,参数之间应加空格,如`findUserInfo($userId...
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
最新发布
08-09
阿齐archie简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简
CSS技巧专栏一日一例:21 -纯CSS实现拟真电器按钮特效.zip
08-09
这是一个CSS实现的拟真电器按钮特效.zip 需要看看效果的,可以移步到我的专栏去看看。文章名与资源名一致。 资源特点:代码短小、代码容易阅读、重点注释、方便扩展、样式美观、CSS+JS实现。 适用人群:前端从业职,新手小白,有网站开发能力对美工有所欠缺的后端工程师。
IATF16949审核准备资料.xls
08-09
IATF16949审核准备资料
汇编语言学习笔记.zip
08-09
汇编语言学习笔记.zip
Windows环境下PHP服务器搭建指南(Apache+PHP+MySQL)
4. 安装过程中,可能需要填写服务器名称(如localhost)和电子邮件地址,如图1-51所示。 Apache的配置通常涉及修改`httpd.conf`配置文件,包括设置监听端口、文档根目录、虚拟主机等。安装完毕后,Apache应该能够在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值