多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把应用程序设置稍作调整即可完成。
1:管理安装脚本
如果开发人员已经安装了一套第三方应用程序的PHP脚本,该脚本用于安装整个应用程序的工作组件,并提供一个接入点。大多数第三方软件包都建议在安装后,删除该目录包含的安装脚本。但开发人员希望保留安装脚本,他们可以创建一个.htaccess文件来控制管理访问目录。
AuthType Basic
AuthName “Administrators Only”
AuthUserFile /usr/local/apache/passwd/passwords
Require valid-user
任何未经授权的用户,如果试图访问一个受保护的目录,将会看到一个提示,要求输入用户名和密码。密码必须匹配指定的“passwords”文件中的密码。
2:头文件
在很多情况下,开发人员可以将分布在应用程序的几个脚本包含进一个脚本里。这些脚本将包含一个“include”指令,集成单个文件到原始页面的代码里。当“include”文件包含敏感信息,包括用户名、密码和数据库访问密钥时,该文件的扩展名应该命名成“.php ",而不是典型的“.inc”扩展。“.php”扩展确保php引擎将处理该文件,并防止任何未经授权的访问。
3: MD5 vs. SHA
在某些情况下,用户最终会创建自己的用户名和密码,而站点管理员通常会对表单提交的密码加密,并保存在数据库中。在过去的几年中,开发人员会使用MD5(消息摘要算法)函数,加密成一个128位的字符串密码。今天,很多开发人员使用SHA-1(安全散列算法)函数来创建一个160位的字符串。
4: 自动全局变量
php.ini文件中包含的设置称为“register_globals”。P服务器会根据register_globals的设置,将会为服务器变量和查询字符串自动创建全局变量。在安装第三方的软件包时,比如内容管理软件,像Joomla和Drupal,安装脚本将引导用户把register_globals设置为“关闭”。将设置改变为“关闭”可以确保未经授权的用户无法通过猜测变量名称及验证密码来访问数据。
5: 初始化变量和值
许多开发人员都落入了实例化变量不赋值的陷阱,原因可能由于时间的限制而分心,或缺乏努力。身份验证过程中的变量,应该在用户登录程序开始前就有值。这个简单的步骤可以防止用户绕过验证程序或访问站点中某些他们没有权限的区域。
分享到:
相关推荐
教你5个PHP安全措施.pdf
浅析PHP网站安全漏洞与安全防范措施.pdf
PHP网站设计中信息安全防御措施.pdf
系统将采用多种安全措施,包括数据加密、防火墙、反病毒程序等,以保证用户信息的安全。 在开发过程中,将采用模块化设计、面向对象编程等技术,以确保系统的可扩展性和可维护性。同时,将遵循良好的编程规范和标准...
PHP网站常见安全漏洞及防范措施.pdf
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的
关于PHP网站设计中信息安全防御措施浅析 (1).pdf
PHP安全基础 介绍了常见的网络攻击手段 以及防御措施 写的不错 值得一看
PHP网站中的一句话木马安全性和防范措施的研究.pdf
Q:84PHP有安全措施吗?运行效率高吗? A:敬请放心。84PHP在编写之初,最关注的就是防注入、XSS、CSRF等安全问题,在不使用参数绑定的前提下(参数绑定降低开发效率),我们完美实现了安全防护。而另一方面,我们始终...
域名IP双重授权功能可以在域名和IP地址两个维度上进行授权验证,提高了授权的安全性。 在线加密系统修复后可实现一键加密功能,为你的代码提供更高的安全性。这个系统不需要授权,完全开源,你只需要将程序复制到根...
php开发的安全规则于Web应用程序安全性,必须认识到的第一件事是不应该信任...在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。
值得注意的是,由于tools.php是一个非常强大的工具,因此我们需要进行一些额外的安全措施。首先,我们需要将其重命名为随机的字符串,以使它变得更加难以被黑客识别。其次,我们需要在服务器上设置访问该文件的IP...
4. 数据安全:系统采用严格的数据安全措施,确保用户隐私和信息安全。 5. 二次开发定制:提供完整的源代码和开发文档,方便用户进行二次开发和定制,满足个性化需求。 总之,【主机域名】PHP多功能域名查询系统是一...
4. 数据安全保障:采用加密技术和安全措施保护用户数据,确保信息安全。 5. 二次开发定制:提供完整的源代码和文档,方便开发者进行二次开发和定制,满足特定需求。 适用场景: * 个人域名投资者:用于寻找具有...
深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞...一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。
1.2.2 PHP擅长的几个领域及产品介绍 5 1.2.3 PHP不适合做什么 6 1.2.4 其他案例 6 1.3 PHP的Hello, world预览 6 1.3.1 第一个PHP程序Hello, world 6 1.3.2 学习PHP应该准备哪些软件 8 1.3.3 相关知识领域的介绍 9 ...
用户可以通过阅读代码和文档,了解如何在实际项目中应用安全性措施,从而加强对网络安全的认识。 用途: 该资源可供开发者、安全爱好者或学生学习和实践,作为入门级别的 PHP 和 MySQL 数据库应用示例,同时了解...
5. **安全可靠的交易环境**:采用先进的加密技术和严格的安全措施,确保用户数据和交易的安全。 总之,Domain Shop Script v1.0是一个功能全面、操作简便的国外域名出售程序,适用于各种规模的域名交易市场。通过...