PHP的正確運(yùn)用為我們帶來(lái)了極大的方便之處。但同時(shí)，也有不少的安全性能需要我們注意。下面我們就為大家總結(jié)了一些PHP安全防護(hù)的技巧要點(diǎn)等。#t#

關(guān)于 Web 應(yīng)用程序安全性，必須認(rèn)識(shí)到的第一件事是不應(yīng)該信任外部數(shù)據(jù)。外部數(shù)據(jù)（outside data） 包括不是由程序員在 PHP 代碼中直接輸入的任何數(shù)據(jù)。在采取措施確保安全之前，來(lái)自任何其他來(lái)源（比如 GET 變量、表單 POST、數(shù)據(jù)庫(kù)、配置文件、會(huì)話變量或 cookie）的任何數(shù)據(jù)都是不可信任的。

例如，下面的數(shù)據(jù)元素可以被認(rèn)為是安全的，因?yàn)樗鼈兪窃?PHP 中設(shè)置的。

PHP安全防護(hù)清單 1. 安全無(wú)暇的代碼

< ?php  
$myUsername = ‘tmyer’;  
$arrayarrayUsers = array
(’tmyer’, ‘tom’, ‘tommy’);  
define(”GREETING”, ‘hello
 there’ . $myUsername);  
?> 

但是，下面的數(shù)據(jù)元素都是有瑕疵的。

PHP安全防護(hù)清單 2. 不安全、有瑕疵的代碼

< ?php  
$myUsername = $_POST[’username’]; 
//tainted!  
$arrayarrayUsers = array($my
Username, ‘tom’, ‘tommy’); 
//tainted!  
define(”GREETING”, ‘hello there’ 
. $myUsername); //tainted!  
?> 

為 什么第一個(gè)變量 $myUsername 是有瑕疵的？因?yàn)樗苯觼?lái)自表單 POST。用戶可以在這個(gè)輸入域中輸入任何字符串，包括用來(lái)清除文件或運(yùn)行以前上傳的文件的惡意命令。

您可能會(huì)問(wèn)，“難道不能使用只接受字母 A-Z 的客戶端（Javascrīpt）表單檢驗(yàn)?zāi)_本來(lái)避免這種危險(xiǎn)嗎？”是的，這總是一個(gè)有好處的步驟，但是正如在后面會(huì)看到的，任何人都可以將任何表單下載 到自己的機(jī)器上，修改它，然后重新提交他們需要的任何內(nèi)容。

解決方案很簡(jiǎn)單：必須對(duì) $_POST[’username’] 運(yùn)行清理代碼。如果不這么做，那么在使用 $myUsername 的任何其他時(shí)候（比如在數(shù)組或常量中），就可能污染這些對(duì)象。

對(duì)用戶輸入進(jìn)行清理的一個(gè)簡(jiǎn)單方法是，使用正則表達(dá)式來(lái)處理它。在這個(gè)示例中，只希望接受字母。將字符串限制為特定數(shù)量的字符，或者要求所有字母都是小寫的，這可能也是個(gè)好主意。

PHP安全防護(hù)清單 3. 使用戶輸入變得安全

< ?php  
$myUsername = cleanInput($_
POST[’username’]); //clean!  
$arrayarrayUsers = array(
$myUsername, ‘tom’, ‘tommy’); //clean!  
define(”GREETING”, ‘hello 
there’ . $myUsername); //clean!  
function cleanInput($input){  
$clean = strtolower($input);  
$clean = preg_replace(”/[^a-z]
/”, “”, $clean);  
$clean = substr($clean,0,12);  
return $clean;  
}  
?> 

以上就是PHP安全防護(hù)的相關(guān)技巧講解。