php 编写安全的代码时容易犯的错误小结


Posted in PHP onMay 20, 2010

1.不转意html entities
一个基本的常识:所有不可信任的输入(特别是用户从form中提交的数据) ,输出之前都要转意。
echo $_GET['usename'] ;
这个例子有可能输出:
<script>/*更改admin密码的脚本或设置cookie的脚本*/</script>
这是一个明显的安全隐患,除非你保证你的用户都正确的输入。
如何修复 :
我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >', and "),函数htmlspecialchars 和 htmlentities()正是干这个活的。
正确的方法:
echo htmlspecialchars($_GET['username'], ENT_QUOTES);
2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说,他们已经在php.ini中将magic_quotes设置为On,所以不必担心这个问题,但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的!
如何修复:
和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数
正确做法:

<?php 
$sql = "UPDATE users SET 
name='.mysql_real_escape_string($name).' 
WHERE id='.mysql_real_escape_string ($id).'"; 
mysql_query($sql); 
?>

3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

每次从服务器下载一个网页的时候,服务器的输出都分成两个部分:头部和正文。
头部包含了一些非可视的数据,例如cookie。头部总是先到达。正文部分包括可视的html,图片等数据。
如果output_buffering设置为Off,所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发,而在部署到另一个环境中去的时候,output_buffering的设置可能不一样。结果转向停止了,cookie和session都没有正确的设置........。

如何修复:
确保在输出之前调用http-header相关的函数,并且令output_buffering = Off

4. Require 或 include 的文件使用不安全的数据
再次强调:不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。
例如:

index.php 
<? 
//including header, config, database connection, etc 
include($_GET['filename']); 
//including footer 
?>

现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
来获取你的机密信息,或执行一个PHP脚本。
如果allow_url_fopen=On,你更是死定了:
试试这个输入:
http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php
现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件,改变密码,删除文件等等。只要你能想得到。
如何修复:
你必须自己控制哪些文件可以包含在的include或require指令中。
下面是一个快速但不全面的解决方法:
<? 
//Include only files that are allowed. 
$allowedFiles = array('file1.txt','file2.txt','file3.txt'); 
if(in_array((string)$_GET['filename'],$allowedFiles)) { 
include($_GET['filename']); 
} 
else{ 
exit('not allowed'); 
} 
?>

5. 语法错误
语法错误包括所有的词法和语法错误,太常见了,以至于我不得不在这里列出。解决办法就是认真学习PHP的语法,仔细一点不要漏掉一个括号,大括号,分号,引号。还有就是换个好的编辑器,就不要用记事本了!
6.很少使用或不用面向对象
很多的项目都没有使用PHP的面向对象技术,结果就是代码的维护变得非常耗时耗力。PHP支持的面向对象技术越来越多,越来越好,我们没有理由不使用面向对象。
7. 不使用framework
95% 的PHP项目都在做同样的四件事: Create, edit, list 和delete. 现在有很多MVC的框架来帮我们完成这四件事,我们为何不使用他们呢?
8. 不知道PHP中已经有的功能
PHP的核心包含很多功能。很多程序员重复的发明轮子。浪费了大量时间。编码之前搜索一下PHP mamual,在google上检索一下,也许会有新的发现!PHP中的exec()是一个强大的函数,可以执行cmd shell,并把执行结果的最后一行以字符串的形式返回。考虑到安全可以使用EscapeShellCmd()
9.使用旧版本的PHP
很多程序员还在使用PHP4,在PHP4上开发不能充分发挥PHP的潜能,还存在一些安全的隐患。转到PHP5上来吧,并不费很多功夫。大部分PHP4程序只要改动很少的语句甚至无需改动就可以迁移到PHP5上来。根据http://www.nexen.net的调查 只有12%的PHP服务器使用PHP5,所以有88%的PHP开发者还在使用PHP4.
10.对引号做两次转意
见过网页中出现\'或\'"吗?这通常是因为在开发者的环境中magic_quotes 设置为off,而在部署的服务器上magic_quotes =on. PHP会在 GET, POST 和 COOKIE中的数据上重复运行addslashes() 。
原始文本:
It's a string

magic quotes on :
It\'s a string
又运行一次
addslashes():
It\\'s a string

HTML输出:
It\'s a string

还有一种情况就是,用户一开始输入了错误的登录信息,服务器检测到错误输入后,输出同样的form要求用户再次输入,导致用户的输入转意两次!

PHP 相关文章推荐
开源SNS系统-ThinkSNS
May 18 PHP
php session 检测和注销
Mar 16 PHP
解析将多维数组转换为支持curl提交的一维数组格式
Jul 08 PHP
php中通过curl检测页面是否被百度收录
Sep 27 PHP
php目录遍历函数opendir用法实例
Nov 20 PHP
PHP中的替代语法介绍
Jan 09 PHP
php数组键值用法实例分析
Feb 27 PHP
crontab无法执行php的解决方法
Jan 25 PHP
php array_map使用自定义的函数处理数组中的每个值
Oct 26 PHP
PHP+Ajax简单get验证操作示例
Mar 02 PHP
Yii 使用intervention/image拓展实现图像处理功能
Jun 22 PHP
浅谈laravel中的关联查询with的问题
Oct 10 PHP
Windows7下PHP开发环境安装配置图文方法
May 20 #PHP
Joomla下利用configuration.php存储简单数据
May 19 #PHP
php UTF-8、Unicode和BOM问题
May 18 #PHP
php生成的html meta和link标记在body标签里 顶部有个空行
May 18 #PHP
PHP 工厂模式使用方法
May 18 #PHP
在PHP中使用反射技术的架构插件使用说明
May 18 #PHP
PHP 写文本日志实现代码
May 18 #PHP
You might like
php+memcache实现的网站在线人数统计代码
2014/07/04 PHP
javascript引导程序
2008/10/26 Javascript
Jquery 基础学习笔记
2009/05/29 Javascript
Jquery Ajax学习实例6 向WebService发出请求,返回DataSet(XML) 异步调用
2010/03/18 Javascript
js arguments对象应用介绍
2012/11/28 Javascript
实现局部遮罩与关闭原理及代码
2013/02/04 Javascript
JS阻止冒泡事件以及默认事件发生的简单方法
2014/01/17 Javascript
js动态改变select选择变更option的index值示例
2014/07/10 Javascript
javascript在当前窗口关闭前检测窗口是否关闭
2014/09/29 Javascript
js实现YouKu的漂亮搜索框效果
2015/08/19 Javascript
angular.bind使用心得
2015/10/26 Javascript
ajax接收后台数据在html页面显示
2017/02/19 Javascript
JS实现AES加密并与PHP互通的方法分析
2017/04/19 Javascript
详解VueJS 数据驱动和依赖追踪分析
2017/07/26 Javascript
js实现图片上传并预览功能
2018/08/06 Javascript
Vue组件中的data必须是一个function的原因浅析
2018/09/03 Javascript
Vue 组件封装 并使用 NPM 发布的教程
2018/09/30 Javascript
vue多级复杂列表展开/折叠及全选/分组全选实现
2018/11/05 Javascript
vue弹出框组件封装实例代码
2019/10/31 Javascript
extjs图表绘制之条形图实现方法分析
2020/03/06 Javascript
React生命周期原理与用法踩坑笔记
2020/04/28 Javascript
vue 实现element-ui中的加载中状态
2020/11/11 Javascript
[04:23]DOTA2上海特锦赛小组赛第一日 TOP10精彩集锦
2016/02/27 DOTA
如何优雅地处理Django中的favicon.ico图标详解
2018/07/05 Python
Python 3.x基于Xml数据的Http请求方法
2018/12/28 Python
详解用Python实现自动化监控远程服务器
2019/05/18 Python
Python爬虫动态ip代理防止被封的方法
2019/07/07 Python
selenium+python实现基本自动化测试的示例代码
2021/01/27 Python
matplotlib bar()实现百分比堆积柱状图
2021/02/24 Python
驴妈妈旅游网:中国新型的B2C旅游电子商务网站
2016/08/16 全球购物
Booking.com英国官网:全球酒店在线预订网站
2018/04/21 全球购物
工作收入证明模板
2014/10/10 职场文书
计算机考试作弊检讨书1000字
2015/01/01 职场文书
2016年师德学习心得体会
2016/01/12 职场文书
Pytorch DataLoader shuffle验证方式
2021/06/02 Python
MySQL如何解决幻读问题
2021/08/07 MySQL