PHP代碼安全和SQL Injection防范_PHP教程
推薦:php代碼防注入,保護(hù)代碼安全今天寫代碼的時(shí)候猛然想到是不能能夠通過一個(gè)文件來處理整個(gè)網(wǎng)站中所有可能出現(xiàn)注入的地方進(jìn)行防范呢?這樣就能夠不用在每個(gè)程序里對(duì)每個(gè)變量進(jìn)行過濾,節(jié)省了時(shí)間和代碼。 我們主要是
在PHP編碼的時(shí)候,如果考慮到一些比較基本的安全問題,首先一點(diǎn):
1. 初始化你的變量
為什么這么說呢?我們看下面的代碼:
以下為引用的內(nèi)容:
if ($admin)
{
echo '登陸成功!';
include('admin.php');
}
else
{
echo '你不是管理員,無法進(jìn)行管理!';
}
好,我們看上面的代碼好像是能正常運(yùn)行,沒有問題,那么加入我提交一個(gè)非法的參數(shù)過去呢,那么效果會(huì)如何呢?比如我們的這個(gè)頁是 http://www.traget.com/login.php,那么我們提交:http://www.target.com/login.php?admin=1,呵呵,你想一些,我們是不是直接就是管理員了,直接進(jìn)行管理。
當(dāng)然,可能我們不會(huì)犯這么簡單錯(cuò)的錯(cuò)誤,那么一些很隱秘的錯(cuò)誤也可能導(dǎo)致這個(gè)問題,比如最近暴出來的phpwind 1.3.6論壇有個(gè)漏洞,導(dǎo)致能夠直接拿到管理員權(quán)限,就是因?yàn)橛袀(gè)$skin變量沒有初始化,導(dǎo)致了后面一系列問題。
那么我們?nèi)绾伪苊馍厦娴膯栴}呢?首先,從php.ini入手,把php.ini里面的register_global = off,就是不是所有的注冊(cè)變量為全局,那么就能避免了。但是,我們不是服務(wù)器管理員,只能從代碼上改進(jìn)了,那么我們?nèi)绾胃倪M(jìn)上面的代碼呢?我們改寫如下:
以下為引用的內(nèi)容:
$admin = 0; // 初始化變量
if ($_POST['admin_user'] && $_POST['admin_pass'])
{
// 判斷提交的管理員用戶名和密碼是不是對(duì)的相應(yīng)的處理代碼
// ...
$admin = 1;
}
else
{
$admin = 0;
}
if ($admin)
{
echo '登陸成功!';
include('admin.php');
}
else
{
echo '你不是管理員,無法進(jìn)行管理!';
}
那么這時(shí)候你再提交 http://www.target.com/login.php?admin=1 就不好使了,因?yàn)槲覀冊(cè)谝婚_始就把變量初始化為 $admin = 0 了,那么你就無法通過這個(gè)漏洞獲取管理員權(quán)限。
2. 防止SQL Injection (sql注射)
SQL 注射應(yīng)該是目前程序危害最大的了,包括最早從asp到php,基本上都是國內(nèi)這兩年流行的技術(shù),基本原理就是通過對(duì)提交變量的不過濾形成注入點(diǎn)然后使惡意用戶能夠提交一些sql查詢語句,導(dǎo)致重要數(shù)據(jù)被竊取、數(shù)據(jù)丟失或者損壞,或者被入侵到后臺(tái)管理。
基本原理我就不說了,我們看看下面兩篇文章就很明白了:
http://www.4ngel.net/article/36.htm
http://www.4ngel.net/article/30.htm
那么我們既然了解了基本的注射入侵的方式,那么我們?nèi)绾稳シ婪赌兀窟@個(gè)就應(yīng)該我們從代碼去入手了。
分享:用PHP生成中文拼音代碼以下為引用的內(nèi)容: php代碼: ?php class ChineseSpell { /** * @var array $chines
- PHPNOW安裝Memcached擴(kuò)展方法詳解
- php記錄頁面代碼執(zhí)行時(shí)間
- PHP中獎(jiǎng)概率的抽獎(jiǎng)算法程序代碼
- apache設(shè)置靜態(tài)文件緩存方法介紹
- php對(duì)圖像的各種處理函數(shù)代碼小結(jié)
- PHP 關(guān)于訪問控制的和運(yùn)算符優(yōu)先級(jí)介紹
- 關(guān)于PHP語言構(gòu)造器介紹
- php/js獲取客戶端mac地址的實(shí)現(xiàn)代碼
- php5.5新數(shù)組函數(shù)array_column使用
- PHP preg_match的匹配多國語言的技巧
- php 中序列化和json使用介紹
- php采集文章中的圖片獲取替換到本地
PHP教程Rss訂閱編程教程搜索
PHP教程推薦
- 利用Apache實(shí)現(xiàn)禁止圖片盜鏈
- 十天學(xué)會(huì)php之第四天
- PHP中addcslashes函數(shù)與stripcslashes的用法
- php教程之語言中switch的用法介紹
- PHP技巧:通過實(shí)例深入剖析require和include的用法
- 關(guān)于PHP編程中“數(shù)組”的基礎(chǔ)知識(shí)
- PHP編程中break及continue兩個(gè)流程控制指令
- 揭秘PHP+MySQL動(dòng)態(tài)網(wǎng)站開發(fā)基礎(chǔ)實(shí)例教程
- php 中序列化和json使用介紹
- 解讀Windows環(huán)境PHP的session為何不能正常使用
- 相關(guān)鏈接:
- 教程說明:
PHP教程-PHP代碼安全和SQL Injection防范。