php如何安全地使用
1樓:鑽野你亮歹
php開發過程中,需要注意的安全細節,其實不只是php其它語言通用。
作為php程式設計師,特別是新手,對於網際網絡的險惡總是知道的太少,對於外部的入侵有很多時候是素手無策的,他們根本不知道黑客是如何入侵的、提交入侵、上傳漏洞、sql
注入、跨指令碼攻擊等等。作為最基本的防範你需要注意你的外部提交,做好第一面安全機制處理防火牆。
規則 1:絕不要信任外部資料或輸入。
關於web應用程式安全性,必須認識到的第一件事是不應該信任外部資料。外部資料(outside data)
包括不是由程式設計師在php**中直接輸入的任何資料。在採取措施確保安全之前,來自任何其他**(比如 get 變數、表單。
post、資料庫、配置檔案、會話變數或cookie)的任何資料都是不可信任的。
規則 2:禁用那些使安全性難以實施的php設定。
已經知道了不能信任使用者輸入,還應該知道不應該信任機器上配置 php 的方式。例如,要確保禁用 register_globals。如果啟用了。
register_globals,就可能做一些粗心的事情,比如使用 $variable 替換同名的 get 或 post 字串。通過禁用這個設定,php
強迫您在正確的名稱空間中引用正確的變數。要使用來自表單 post 的變數,應該引用 $_post['variable']。這樣就不會將這個特定變數誤會成。
cookie、會話或 get 變數。
規則 3:如果不能理解它,就不能保護它。
一些開發人員使用奇怪的語法,或者將語句組織得很緊湊,形成簡短但是含義模糊的**。這種方式可能效率高,但是如果您不理解**正在做什麼,那麼就無法決定如何保護它。
規則 4:「縱深防禦」 是新的法寶。
本教程將用示例來說明如何保護**表單,同時在處理表單的 php **中採用必要的措施。同樣,即使使用 php regex 來確保 get
變數完全是數字的,仍然可以採取措施確保 sql
查詢使用轉義的使用者輸入。縱深防禦不只是一種好思想,它可以確保您不會陷入嚴重的麻煩。既然已經討論了基本規則,現在就來研究第一種威脅:sql 注入攻擊。
我想問下,php應該注意哪些安全問題,必須要注意的
2樓:度新之
get post 提交過來的值 進行安全處理。這個是必須注意的 然後就是sql語句的時候 where 條件的時候 不管任何東西 都需要轉義 過濾 以及他的條件引數需要加上'' mysql_ecape_string($_post)
還有很多 轉義的 比如 轉義' \ 這些符號的。
3樓:葉天凌
對使用者提交的資料過濾,必須過濾掉提交資料中js**。
php在安全方面有哪些問題
4樓:戀戀土豆絲
當然有安全問題。
php的語法結構與c、prel 非常相似,開發者可以直接在任何文字器中 php 命令**,不需要任何特殊的開發環境。在 web 頁面中,所有 php **都被放置在 「>之間。php 存在著它自身獨有的一些安全問題。
比如:全域性變數未初始化漏洞。
php中的全域性變數是不需要預先宣告的,他們會在第一次使用時自動建立,由 php 根據上下文環境自動確定變數的型別。這對於程式設計師而言是相當方便的,只要乙個變數被建立,就可以在程式中的任何地方使用。,但也導致在 php 程式的編寫過程中,程式設計師很少初始化變數,通常都直接使用建立預設的空值。
這使得攻擊者可以通過給全域性變數賦值來欺騙**,執行惡意的目的。
如何做好網路安全保密工作,如何做好網路安全工作?
認清形勢,提高認識,切實增強做好保密工作的責任感。持續深入開展保密宣回傳教育工作,強化全答員保密意識。加強對涉密資料和涉密載體的過程監控,突出關鍵環節的管理。要認真貫徹落實國家 公司保密要求,健全保密相關制度,強化監督檢查,注重源頭預防。加強保密隊伍自身建設,狠抓工作落實。隨著改革開放的不斷深入和市...
怎麼做好安全生產工作,企業如何做好安全生產工作?
安全生產是企業追求的目標。新的一年已經開始,任何一個企業都應該把安全當成 頭等大事 來抓,因為安全生產是企業的命根子,安全就得常講不忘,常抓不懈,為此,不論是決策者 管理者還是執行者,只要時刻牢記自己的安全職責,以較強的安全責任感規範自己的行為 管理行為 作業行為 在安全意識上進一步確立一種內在的自...
如何解決班組安全問題,如何做好班組安全
首要要明確班組存在哪些安全問題。個人經驗班組的安全問題主要有以下幾個。一是安全意識淡薄。這個問題要通過宣傳 培訓 一對一引導 嚴格考核等方式來進行引導,企業的管理和氛圍的營造很重要 內容很多,所有的安全管理工作都可以為這個服務 這是安全管理的首要和重中之重的問題。必須讓班組成員瞭解風險和帶來的危害,...