php框架 安全类,开发一个简单的PHP框架,有哪些安全问题需要注意?

最新推荐文章于 2021-03-24 12:37:14 发布
最新推荐文章于 2021-03-24 12:37:14 发布
阅读量68 收藏
点赞数
文章标签: php框架 安全类

自认为,做一个最简单的PHP mvc框架,用URL路由函数匹配URL中的controller和method的名字,如果method_exists则new该controller再用call_user_func_array执行该method,否则引入error的controller,每个controller中可以require引入model,再require引入tpl,这是我做一个最简单的PHP框架的思路,那这里面需要注意哪些安全问题呢?

回复内容:

自认为,做一个最简单的PHP mvc框架,用URL路由函数匹配URL中的controller和method的名字,如果method_exists则new该controller再用call_user_func_array执行该method,否则引入error的controller,每个controller中可以require引入model,再require引入tpl,这是我做一个最简单的PHP框架的思路,那这里面需要注意哪些安全问题呢?

路径问题,不能通过url调用应用外部文件比如/etc/passwd

数据过滤,永远不要信任用户的任何输入。输入的所有数据使用htmlspecialchars过滤后入库。

数据库,使用PDO代替mysql_xxxx,使用参数绑定处理外部数据(如果数据库只使用mysql也可使用mysqli扩展)

关于 call_user_func_array 的安全问题,之前drupal中过招。

http://blog.knownsec.com/2014/10/drupal__callback_nightmare/

require 可能产生文件包含漏洞。

http://www.neatstudio.com/show-1123-1.shtml

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

TIMarteches
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CI框架安全类Security.php源码分析
10-25
之前我们分析了CI框架的session类session.php,本文我们继续分析CI框架安全类security.php文件,方便我们更详细的了解CI框架,从而更熟练的应用CI框架
PHP 安全问题入门:10 个常见安全问题 + 实例讲解_php 安全性和错误处理
mm627mm的博客
04-18 779
需要澄清的一点是:密码哈希并不是密码加密。MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如ISP运营商。如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件。
php 安全类,PHP高级安全会话类
weixin_42504048的博客
03-24 67
一个实习中,我正在跟着一本关于为购物车进行高级PHP安全会话的非常好的教程,这将为用户提供个人级别的定价(无论如何,这是目标)。这是教程:http://tutorial-resource.com/2011/10/a-secure-session-management-class-in-php/首先,我创建了一个原始登录,用于检查基于Quickbooks客户ID的现有客户,以用于测试此会话。真正的...
tp php运算 round,THINKPHP使用I()函数中过滤的问题
weixin_39774044的博客
03-13 279
后台接收富文本的值,不进行过滤。然后用函数处理xss一般用这个方法//过滤XSS攻击function reMoveXss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as /...
PHP应用的注意方式,应用PHP框架进行开发注意事项
weixin_28788441的博客
03-18 149
loading...PHP以它强大的功能成为了众多程序员开发程序的首选语言。不过要想灵活的运用这项语言为我们创造价值,这时候就需要一个PHP框架来代替程序员完成那些重复不变的部分。我们下面就为大家介绍应用PHP框架应该注意些什么问题PHP框架是什么?PHP框架提供了一个用以构建web应用的基本框架,从而简化了用PHP编写web应用程序的流程。换言之,PHP框架有助于促进快速应用开发( RAD )...
一个简易的PHP框架
qq_37937326的博客
06-11 399
自己学着写了一个框架并在这个框架上添加了些自己想要添加的东西。 首先是写入口文件 我起名叫做FRA.php 这里面主要实现了自动加载即路由与异常的接管 具体思想是:框架访问用PATH_INFO方式对其进行访问,先将PATH_INFO进行分割生成数组,然后将其对应于所要访问的类和方法,在进行实例化进行访问。具体代码如下: function dep(&$c,&$a,&$p,$arr=null){ @list($c, $a) = explode('/', $p); spl_
一个简单安全且可扩展PHP应用程序框架-PHP开发
05-27
Opulence简介Opulence是一个PHP Web应用程序框架,它简化了创建和维护安全,可扩展网站的困难部分。 使用Opulence,可以进行数据库管理,缓存等操作。Opulence简介Opulence是一个PHP Web应用程序框架,它简化了创建...
cpp-一个用C编写的PHP框架具有简单快速标准安全的特性
08-15
【标题】:“cpp-一个用C编写的PHP框架具有简单快速标准安全的特性” 这个标题指出,我们讨论的是一款基于C语言实现的PHP框架PHP(Hypertext Preprocessor)是一种广泛使用的开源脚本语言,主要用于Web开发,而...
一个简单PHP开发框架
06-11
4. **动手实践**:创建一个简单的项目,如博客系统,来应用所学知识。 总结来说,"一个简单PHP开发框架"意味着这个框架旨在降低PHP开发的门槛,提供基本的MVC结构和必备功能,让开发者能够快速上手,搭建自己的...
php 安全类,PHP代码安全--类型对比
weixin_34847426的博客
03-11 55
字符串与数字对比原理:$a='1DullCat';$b='DullCat1';var_dump($a==1);//truevar_dump($b==1);//falseintval($a);//1intval($b);//0php的对比运算时,是会将两个变量都转换为相同类型,不同变量的无法对比当字符串和int类型对比时,将会把字符串转化为int类型,相当于字符串在底层执行了...
PHP常见漏洞的防范措施
大鹏
12-18 1994
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
php安全类,php安全,防注入类
weixin_34158442的博客
03-12 84
简介:classParams{public$get=array();public$post=array();function__construct(){if(!empty($_GET)){foreach($_GETas$key=>$val){if(is_numeric($val)){$this->get[$key]=$this->getIn...
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图)
07-22
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图) 1、使用UC3875为控制芯片; 2、NCP1253为辅助电源设计,输出12V,给控制芯片供电; 3、UC3845做BOOST升压控制,实现市电整流升压到400V; 4、全桥拓扑设计结构; 5、后级输出同步整流设计; 6、过压硬件保护电路; 7、过流硬件保护电路; 8、提供原理图、PCB图;
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包
07-22
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 (1)网站前台功能: A、信息搜索功能(分类检索) B、用户登录、注册 C、查看发布兼职信息 D、预定兼职 E、个人简历的编辑(也可以上传自己制作的简历) F、用户投诉 G、留言版 H、新闻公告(职场资讯) I、职场攻略(包含面试技巧以及简历指导) (2)管理员后台功能: A、用户信息管理
CodeIgniter框架:快速高效开发PHP应用指南
CodeIgniter(CI)是一个流行的开源PHP框架,设计用于简化PHP应用程序的开发过程。它以其轻量级、易安装和高效的特点受到开发者的喜爱。CI的核心理念是通过提供一套结构化的工具和规则,帮助开发者快速构建功能丰富...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值