如题所述
第1个回答 2015-04-03
您好,所有网页的发展的戒律,我不能再压缩了的话就是:永远,永远,相信你的用户.假定你的网站从使用者收集的每片数据含有恶意代码. 始终,你认为已经检查客户端验证的这包括数据,例如在JavaScript .如果你能够达到这个目标,你应该有了一个良好的开端.如果PHP的安全性很重要,这一点就要重要地学习.个人来说,"PHP安全"是一个重大的问题。
2、全局变量
在许多语言,你必须明确地设定一个变量,以使用它. 在PHP中,有一个选项" ,register_globals" ,你可以在php.ini中设置,让您可以使用全局变量,而不需要事先声明.
考虑下面的代码:
if ($password == "my_password") {
$authorized = 1;
}
if ($authorized == 1) {
echo "Lots of important stuff.";
}
许多人看上去觉得没什么问题; 而事实上,这方面的代码在整个网站上应用.但是,如果一个服务器开启"register_globals"。然后,只需添加"?authorized=1"的URL将让任何人都看到.这是一个最普遍的PHP的安全问题.
所幸的是,这有两个简单的解决办法.第一,也许最好的,就是把"register_globals"关闭.二是你必须明确只有你使用变量.在上面的例子中,这将意味着加入"?authorized=0"; 在脚本的开始:
$authorized = 0;
if ($password == "my_password") {
$authorized = 1;
}
if ($authorized == 1) {
echo "Lots of important stuff.";
}
3、错误信息
错误信息是一个非常有用的工具,无论是程序员和黑客.开发者需要它们去改正错误. 黑客可以利用它们来找出一个网站的各种信息,从目录结构的服务器,数据库登录信息.如果可能的话,最好是关闭所有的错误报告. PHP可以完成这项工作.htaccess或php.ini,设置"error_reporting" 的值改为"0" .如果你有一个开发环境,您可以设定不同的错误报告级别。
2、全局变量
在许多语言,你必须明确地设定一个变量,以使用它. 在PHP中,有一个选项" ,register_globals" ,你可以在php.ini中设置,让您可以使用全局变量,而不需要事先声明.
考虑下面的代码:
if ($password == "my_password") {
$authorized = 1;
}
if ($authorized == 1) {
echo "Lots of important stuff.";
}
许多人看上去觉得没什么问题; 而事实上,这方面的代码在整个网站上应用.但是,如果一个服务器开启"register_globals"。然后,只需添加"?authorized=1"的URL将让任何人都看到.这是一个最普遍的PHP的安全问题.
所幸的是,这有两个简单的解决办法.第一,也许最好的,就是把"register_globals"关闭.二是你必须明确只有你使用变量.在上面的例子中,这将意味着加入"?authorized=0"; 在脚本的开始:
$authorized = 0;
if ($password == "my_password") {
$authorized = 1;
}
if ($authorized == 1) {
echo "Lots of important stuff.";
}
3、错误信息
错误信息是一个非常有用的工具,无论是程序员和黑客.开发者需要它们去改正错误. 黑客可以利用它们来找出一个网站的各种信息,从目录结构的服务器,数据库登录信息.如果可能的话,最好是关闭所有的错误报告. PHP可以完成这项工作.htaccess或php.ini,设置"error_reporting" 的值改为"0" .如果你有一个开发环境,您可以设定不同的错误报告级别。
