用php和MySql实现注册登录功能时需要注意的安全问题 (1)
本文涉及到的点:
- 利用MySQLi或者PDO连接MySQL数据库
- 利用预处理SQL语句(Prepared SQL statements)防范SQL注入
- 利用htmlentities()防范Cross-Site Scripting (XSS)攻击
- 利用MD5对用户密码进行加密
- 利用HTTP headers防范Session Hijacking攻击
- W3C (HTML5 and CSS) Validation
利用MySQLi或者PDO连接MySQL数据库
PHP5 以后连接MySQL数据库有两种方式:
- MySQLi extension (MySQL extension在2012年就过时了)
- PDO
PDO支持12种数据库,MySQLi仅支持MySQL。所以如果你的项目有改变数据库的可能的话,无疑PDO是更好的选择。
安全方面,两种方式都支持Prepared SQL statements which can prevent your project from SQL injection.
首先将展现如何用PDO连接MySQL数据库:
<?php
// Creating a new PDO object
$pdo = new PDO(‘mysql:host=localhost; dbname=mydb’, ‘dbuser’, ‘dbpassword’);
?>
通常,为了安全起见,在实现与数据库连接的时候,连接需要的hostname, dbname, port, username, password等credentials信息需要单独封装在一个文件中并利用requrire_once()调用它们,比如:
<?php
// Database config
define('DB_HOST', 'dbhost');
define('DB_USER', 'dbuser');
define('DB_PASS', 'dbpassword');
define('DB_NAME', 'dbname');
?>
这样的话,当直接通过浏览器进入这个php页面的时候,浏览器只可能呈现空白。
同时,执行与数据库连接的代码也要单独封装起来,并且不要忘记使用try and catch来抓取PDOException,防止万一报错,错误信息泄漏在页面上的情况。举个例子:
<?php
try{
$pdo = new PDO(‘mysql:host=localhost; dbname=mydb’, ‘dbuser’, ‘dbpassword’)