PHP作為當下主流的指令碼語言,在各大網際網路公司都能看到它的身影。很多人評價PHP是安全高效的Web程式語言,其實我要說的是,PHP的安全性並不高!如果在專案開發時不去做必要的安全最佳化,那專案上線後很容易被注入攻擊。那該如何避免呢?
對於Web開發而言,我們務必要清楚的知道,使用者提交過來的資料是不能保證是否合法的,所以需要對使用者提交的資料做一些過濾(過濾掉敏感詞,如:select 、" 這類SQL構造詞彙),同時使用者提交的資料中可能會帶一些惡意的JS或CSS程式碼,同樣需要做轉義處理,防止在前端渲染頁面時執行這些JS或CSS。
很多初級PHPer在寫SQL時喜歡採用字串拼接的方式來構造SQL,殊不知這樣會導致SQL注入,嚴謹作法應該是使用SQL預編譯(引數繫結)的方式來傳遞引數,防止透過構造字串的方式來進行SQL注入。
PHP配置檔案中有許多關於安全方面的配置,比如說:magic_quotes_gpc ,這個配置開啟後會分析使用者提交的資料(POST、GET、Cookie),如果這些資料中含有特殊字元(如:單引號、雙引號、反斜線等)則會進行自動轉義。
如果沒有開啟這個配置,那我們對於使用者提交過來的POST、GET、Cookie資料需要手動呼叫addslashes函式來轉義。
PHP作為當下主流的指令碼語言,在各大網際網路公司都能看到它的身影。很多人評價PHP是安全高效的Web程式語言,其實我要說的是,PHP的安全性並不高!如果在專案開發時不去做必要的安全最佳化,那專案上線後很容易被注入攻擊。那該如何避免呢?
對使用者提交的資料務必做過濾及轉義處理對於Web開發而言,我們務必要清楚的知道,使用者提交過來的資料是不能保證是否合法的,所以需要對使用者提交的資料做一些過濾(過濾掉敏感詞,如:select 、" 這類SQL構造詞彙),同時使用者提交的資料中可能會帶一些惡意的JS或CSS程式碼,同樣需要做轉義處理,防止在前端渲染頁面時執行這些JS或CSS。
程式碼中嚴禁採用SQL拼接的方式構造SQL語句很多初級PHPer在寫SQL時喜歡採用字串拼接的方式來構造SQL,殊不知這樣會導致SQL注入,嚴謹作法應該是使用SQL預編譯(引數繫結)的方式來傳遞引數,防止透過構造字串的方式來進行SQL注入。
PHP配置檔案安全配置PHP配置檔案中有許多關於安全方面的配置,比如說:magic_quotes_gpc ,這個配置開啟後會分析使用者提交的資料(POST、GET、Cookie),如果這些資料中含有特殊字元(如:單引號、雙引號、反斜線等)則會進行自動轉義。
如果沒有開啟這個配置,那我們對於使用者提交過來的POST、GET、Cookie資料需要手動呼叫addslashes函式來轉義。