不容忽視的php安全技術(shù)
安全一直是一個(gè)在編程語言中非常值得去關(guān)注的方面。在任何一種成熟的編程語言中都有合適的辦法來保證程序的安全性,在現(xiàn)代的 WEB 開發(fā)中,我們常常需要去處理用戶的輸入。(那么這時(shí)候,問題就來了)有一句編程格言是: 千萬不要相信用戶輸入的安全性。所以呢,今天就介紹一些在PHP 中最常用的為你的代碼提供安全保護(hù)的方法。
在PHP 中有許多方便的函數(shù)可以幫助你免于類似于 SQL注入,XSS攻擊。現(xiàn)在讓我們來看一下這些能夠給你的項(xiàng)目增加安全性的函數(shù)吧。但是,請(qǐng)注意,這里只是一些常用的函數(shù)的列表,也許他們并不全面,但是我相信他們都是對(duì)你的項(xiàng)目是非常有幫助的。
mysql_real_escape_string( string sqlQuery ) :
●轉(zhuǎn)義 SQL 語句中使用的字符串中的特殊字符,并考慮到連接的當(dāng)前字符集。一個(gè)非常有用的函數(shù),可以有效地避免 SQL 注入。
以下字符會(huì)被轉(zhuǎn)換:
\x00,\n,\r,\,’,”,\x1a
在執(zhí)行sql語句之前,對(duì)要將執(zhí)行的sql query 使用該函數(shù)處理,會(huì)將一些危 險(xiǎn)扼殺在搖籃中。
但是現(xiàn)在一般在較為成熟的項(xiàng)目中,一般比較推薦使用類似 PDO 這樣的數(shù)據(jù)庫持久層來處理所有的數(shù)據(jù)庫操作。他們代表著更為先進(jìn)的數(shù)據(jù)庫操作處理技術(shù),在安全性,數(shù)據(jù)讀寫的速度上逗比那些古老的 mysql_* api 強(qiáng)大了不少。
addslashes() :
在將一些數(shù)據(jù)插入到數(shù)據(jù)庫中時(shí),這個(gè)函數(shù)會(huì)非常有用,它可以在單引號(hào)前加上反斜杠,使得數(shù)據(jù)在插入時(shí)不會(huì)出現(xiàn)錯(cuò)誤。但是它的使用與php.ini 中的一項(xiàng)設(shè)置有關(guān)系 — magic_quotes_gpc
1. 對(duì)于PHP magic_quotes_gpc=on的情況, 我們可以不對(duì)輸入和輸出數(shù)據(jù)庫的字符串?dāng)?shù)據(jù)作addslashes()和stripslashes()的操作,數(shù)據(jù)也會(huì)正常顯示。
如果此時(shí)你對(duì)輸入的數(shù)據(jù)作了addslashes()處理,那么在輸出的時(shí)候就必須使用stripslashes()去掉多余的反斜杠。
2. 對(duì)于PHP magic_quotes_gpc=off 的情況
必須使用addslashes()對(duì)輸入數(shù)據(jù)進(jìn)行處理,但并不需要使用stripslashes()格式化輸出,因?yàn)閍ddslashes()并未將反斜杠一起寫入數(shù)據(jù)庫,只是幫助mysql完成了sql語句的執(zhí)行。
【stripslashes() :刪除由 addslashes() 函數(shù)添加的反斜杠。】
htmlentities() :
一個(gè)非常有用的用來處理輸出的函數(shù)。它用來將一些可能導(dǎo)致XXS攻擊的字符轉(zhuǎn)化為html實(shí)體,這些字符在瀏覽器顯示的時(shí)候是正常的,但是當(dāng)你查看它的源代碼時(shí),實(shí)際上這些特殊字符必不會(huì)是他顯示的那樣,例如
輸出:
John & ‘Adams’
源碼:
John & 'Adams';
輸出:
<>
源碼:
<>gt;
編碼這些符號(hào),有效地避免了XSS 攻擊。
htmlspecialchars():
和上面的函數(shù)是一樣的,但是它更常用一些,因?yàn)?htmlentities() 是將所有的有在html 標(biāo)準(zhǔn)中定義了的字符轉(zhuǎn)換成他們對(duì)應(yīng)的html實(shí)體,這樣會(huì)是你的輸出缺乏易讀性(html 實(shí)體列表 http://www.w3school.com.cn/tags/html_ref_entities.html)。所以呢,使用 htmlspecialchars() 只是將一些 預(yù)定義的字符(就是會(huì)導(dǎo)致出現(xiàn)問題的)轉(zhuǎn)換為html實(shí)體。例如:
& (和號(hào)) 成為 &
” (雙引號(hào)) 成為 ”
‘ (單引號(hào)) 成為 ‘
< (小于) 成為 <
> (大于) 成為 >
所以,在一些項(xiàng)目中,我還是常常使用 htmlspecialchars() 來處理html 的輸出的。他在安全這一方面做得更具體一些。
strip_tags(): 一般在輸出時(shí)使用,將HTML、XML 以及 PHP 的標(biāo)簽剝?nèi)ァ?/span>
函數(shù)原型: strip_tags(string,allow)
String 代表輸入的字符串,allow 代表 不刪除的標(biāo)簽,你可以通過 allow 來自定義過需要濾掉的標(biāo)簽
md5() :
一個(gè)將字符串轉(zhuǎn)換為一個(gè)32位的哈希值的函數(shù)(不能逆向解密),任何一個(gè)字符串都能通過這個(gè)函數(shù)獲得一個(gè)唯一的32位字符串。但是,現(xiàn)在使用這個(gè)函數(shù)時(shí),需要注意有一些數(shù)據(jù)庫記錄了大量的md5 值,通過暴力枚舉的方式來破解你的密碼,所以在使用的時(shí)候,你可以先將你的原字符串加一層密,然后再使用md5()哈希,會(huì)獲得更好的效果。
sha1() :
和md5() 和相似的一個(gè)函數(shù),但是他使用不同的算法生成一個(gè) 40個(gè)字符的字符串。可以在項(xiàng)目中考慮使用。
intval() :
也許你認(rèn)為這個(gè)函數(shù)不是一個(gè) security function。但是它在某些情況下可以很好地保護(hù)你的code。對(duì)從用戶收集到的一些數(shù)據(jù)例如 ID,password,username處理,也許可以消除一些安全隱患,畢竟這里是重災(zāi)區(qū)
?
穩(wěn)定
產(chǎn)品高可用性高并發(fā)貼心
項(xiàng)目群及時(shí)溝通專業(yè)
產(chǎn)品經(jīng)理1v1支持快速
MVP模式小步快跑承諾
我們選擇聲譽(yù)堅(jiān)持
10年專注高端品質(zhì)開發(fā)