亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

復習PHP-安全

發布時間:2020-07-20 14:41:10 來源:網絡 閱讀:357 作者:qzd1989 欄目:web開發

1.安全記錄

修改php.ini中的open_basedir,防止越目錄訪問文件。

如果php作為apache模塊時,apache的權限一定不能為root。

如果php作為apache模塊時,應當使用apache驗證/LDAP/.htaccess等來設計自己的訪問模型,并把這些代碼作為php腳本的一部分。

php不能有root權限,否則將有可能有權限刪除和修改系統中的任何文件。

任何用戶提交的數據都必須經過檢查和過濾。(特別對于文件的操作,必須要考慮到各種URL情況)

必須要考慮\0在文件路徑中的作用。(C語言如果讀到\0會停止繼續讀取)

SQL語句中的--是忽略后面句子的意思。

SQL中能確定變量的類型的,一定要強制轉換類型,而不要讓它存在不可預計的情況。(如age=’{$age}’,需要將$age強制int 或float)

必須時刻注意SQL語句中變量可能被變形的情況。

操作數據庫時可使用mysql_escape_string/sql_escape_string/addslashes/str_replace把敏感字符轉義。

記錄SQL查詢日志用于檢查問題是個好辦法。

合理運用PDO參數化進行SQL查詢是個較好的辦法。

-----(以下摘自PHP手冊)

  • 永遠不要使用超級用戶或所有者帳號去連接數據庫。要用權限被嚴格限制的帳號。
  • 檢查輸入的數據是否具有所期望的數據格式。PHP 有很多可以用于檢查輸入的函數,從簡單的變量函數和字符類型函數(比如 is_numeric(),ctype_digit())到復雜的 Perl 兼容正則表達式函數都可以完成這個工作。
  • 如果程序等待輸入一個數字,可以考慮使用 is_numeric() 來檢查,或者直接使用 settype() 來轉換它的類型,也可以用 sprintf() 把它格式化為數字。

2.錯誤報告

常用的可行性辦法為測試開發時打開error_reporting 為E_ALL,正式上線改為0 并且關閉display_error 同時打開error_log記錄錯誤日志。

雖然默認將register global、magic_quotes關閉但也應當檢查一下是否確定為關閉。

------(以下摘自PHP手冊,在用戶提交表單時,必須聯想到)

  • 此腳本是否只能影響所預期的文件?
  • 非正常的數據被提交后能否產生作用?
  • 此腳本能用于計劃外的用途嗎?
  • 此腳本能否和其它腳本結合起來做壞事?
  • 是否所有的事務都被充分記錄了?

3.隱藏PHP

php.ini 文件里設置 expose_php = off ,可以減少他們能獲得的有用信息。

另一個策略就是讓 web 服務器用 PHP 解析不同擴展名。無論是通過 .htaccess 文件還是 Apache 的配置文件,都可以設置能誤導***者的文件擴展名:

# 使PHP看上去像其它的編程語言
AddType application/x-httpd-php .asp .py .pl
4.保持更新
時常更新PHP版本啊哈哈。
向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

彭山县| 莒南县| 招远市| 丹巴县| 葫芦岛市| 奉新县| 竹山县| 长岭县| 积石山| 白山市| 安国市| 临夏县| 莱西市| 依兰县| 东乡族自治县| 三原县| 五莲县| 拜泉县| 昭通市| 洮南市| 淳化县| 光山县| 庆元县| 同仁县| 成安县| 昭平县| 乡城县| 商河县| 铁岭县| 海门市| 日照市| 太仓市| 双辽市| 泰安市| 遵义市| 巫山县| 邓州市| 肇州县| 特克斯县| 武胜县| 乌兰察布市|