PHP開發絕對不能違背的安全鐵則

2021-09-20 11:28:44 字數 2648 閱讀 5481

使用 mysql_real_escape_string() 作為使用者輸入的包裝器,就可以避免使用者輸入中的任何惡意 sql 注入。如果使用者嘗試通過 sql 注入傳遞畸形的密碼

作為php程式設計師,特別是新手,對於網際網路的險惡總是知道的太少,對於外部的入侵有很多時候是素手無策的,他們根本不知道黑客是如何入侵的、提交入侵、上傳漏洞、sql 注入、跨指令碼攻擊等等。作為最基本的防範你需要注意你的外部提交,做好第一面安全機制處理防火牆。

規則 1:絕不要信任外部資料或輸入

關於web應用程式安全性,必須認識到的第一件事是不應該信任外部資料。外部資料(outside data) 包括不是由程式設計師在php**中直接輸入的任何資料。在採取措施確保安全之前,來自任何其他**(比如 get 變數、表單 post、資料庫、配置檔案、會話變數或 cookie)的任何資料都是不可信任的。

例如,下面的資料元素可以被認為是安全的,因為它們是在php中設定的。

清單 1. 安全無暇的**

$myusername = 『tmyer』;

$arrayarrayusers = array(『tmyer』, 『tom』, 『tommy』);

define(「greeting」, 『hello there』 . $myusername);

但是,下面的資料元素都是有瑕疵的。

清單 2. 不安全、有瑕疵的**

$myusername = $_post['username']; //tainted!

$arrayarrayusers = array($myusername, 『tom』, 『tommy』); //tainted!

define(「greeting」, 『hello there』 . $myusername); //tainted!

解決方案很簡單:必須對$_post['username'] 執行清理**。如果不這麼做,那麼在使用$myusername的任何其他時候(比如在陣列或常量中),就可能汙染這些物件。對使用者輸入進行清理的乙個簡單方法是,使用正規表示式來處理它。在這個示例中,只希望接受字母。將字串限制為特定數量的字元,或者要求所有字母都是小寫的,這可能也是個好主意。

清單 3. 使使用者輸入變得安全

$myusername = cleaninput($_post['username']); //clean!

$arrayarrayusers = array($myusername, 『tom』, 『tommy』); //clean!

define(「greeting」, 『hello there』 . $myusername); //clean!

function cleaninput($input)elseelse{

header(「login.php」);

這段**看起來沒問題,對嗎?世界各地成百(甚至成千)的 php/mysql 站點都在使用這樣的**。它錯在**?好,記住 「不能信任使用者輸入」。這裡沒有對來自使用者的任何資訊進行轉義,因此使應用程式容易受到攻擊。具體來說,可能會出現任何型別的sql注入攻擊。例如,如果使用者輸入 foo 作為使用者名稱,輸入 『 or 』1′=』1 作為密碼,那麼實際上會將以下字串傳遞給 php,然後將查詢傳遞給 mysql:

$sql = 「select count(*) as ctr from users where username=

』foo』 and password=」 or 』1′=』1′ limit 1″;

這個查詢總是返回計數值 1,因此 php 會允許進行訪問。通過在密碼字串的末尾注入某些惡意 sql,黑客就能裝扮成合法的使用者。解決這個問題的辦法是,將 php 的內建 mysql_real_escape_string() 函式用作任何使用者輸入的包裝器。這個函式對字串中的字元進行轉義,使字串不可能傳遞撇號等特殊字元並讓 mysql 根據特殊字元進行操作。清單7展示了帶轉義處理的**。

清單7展示了帶轉義處理的**

$okay = 0;

$username = $_post['user'];

$pw = $_post['pw'];

$sql = "select count(*) as ctr from users where username='".mysql_real_

_string($username)."' and password='". mysql_real_escape_string($pw)."'

limit 1";

$result = mysql_query($sql);

while ($data = mysql_fetch_object($result)){

if ($data->ctr == 1){ //they're okay to enter the

$okay = 1;

if ($okay){

$_session['loginokay'] = true;

header("index.php");

else{

header("login.php");

使用 mysql_real_escape_string() 作為使用者輸入的包裝器,就可以避免使用者輸入中的任何惡意 sql 注入。如果使用者嘗試通過 sql 注入傳遞畸形的密碼,那麼會將以下查詢傳遞給資料庫:

select count(*) as ctr from users where username=』foo』 and password=

』\』 or \』1\』=\』1′ limit 1″

PHP開發絕對不能違背的安全鐵則

清單 1.安全無暇的 myusername tmyer arrayarrayusers array tmyer tom tommy define greeting hello there myusername 但是,下面的資料元素都是有瑕疵的。清單 2.不安全 有瑕疵的 myusername pos...

PHP開發絕對不能違背的安全鐵則

作為php程式設計師,特別是新手,對於網際網路的險惡總是知道的太少,對於外部的入侵有很多時候是素手無策的,他們根本不知道黑客是如何入侵的 提交入侵 上傳漏洞 sql 注入 跨指令碼攻擊等等。作為最基本的防範你需要注意你的外部提交,做好第一面安全機制處理防火牆。規則 1 絕不要信任外部資料或輸入 關於...

PHP開發絕對不能違背的安全鐵則(摘)

1 php開發絕對不能違背的安全鐵則 2 摘自 6789 作為php程式設計師,特別是新手,對於網際網路的險惡總是知道的太少,對於外部的入侵有很多時候是素手無策的,他們根本不知道黑客是如何入侵的 提交入侵 上傳漏洞 sql 注入 跨指令碼攻擊等等。作為最基本的防範你需要注意你的外部提交,做好第一面安...