php中安全防范1
来源:互联网 发布:vb mid函数的使用方法 编辑:程序博客网 时间:2024/05/21 20:22
最近研读这方面的资料,也收集了些资料,打算每次做个笔记
1 设置“register_globals”为“off”
这个选项会禁止PHP为用户输入创建全局变量
2 设置“open_basedir”
这个选项可以禁止指定目录之外的文件操作,有效地消除了本地文件或者是远程文件被include()的攻击,但是仍需要注意文件上载和session文件的攻击。
3 设置“display_errors”为“off”,设置“log_errors”为“on”
这个选项禁止把错误信息显示在网页中,而是记录到日志文件中,这可以有效的抵制攻击者对目标脚本中函数的探测。
4 设置“allow_url_fopen”为“off”
这个选项可以禁止远程文件功能
5 在程序中,严格控制变量参数的类型,比如对需要用数字的地方,用如intval等函数转换
6 可以用PHP自带的htmlspecialchars函数过滤掉HTML实体或者自己写过滤函数:
function dangerchr($var){
$var = str_replace("/t","",$msg);
$var = str_replace("<","<",$msg);
$var = str_replace(">",">",$msg);
$var = str_replace("/r","",$msg);
$var = str_replace("/n","<br />",$msg);
$var = str_replace(" "," ",$msg);
}
1 设置“register_globals”为“off”
这个选项会禁止PHP为用户输入创建全局变量
2 设置“open_basedir”
这个选项可以禁止指定目录之外的文件操作,有效地消除了本地文件或者是远程文件被include()的攻击,但是仍需要注意文件上载和session文件的攻击。
3 设置“display_errors”为“off”,设置“log_errors”为“on”
这个选项禁止把错误信息显示在网页中,而是记录到日志文件中,这可以有效的抵制攻击者对目标脚本中函数的探测。
4 设置“allow_url_fopen”为“off”
这个选项可以禁止远程文件功能
5 在程序中,严格控制变量参数的类型,比如对需要用数字的地方,用如intval等函数转换
6 可以用PHP自带的htmlspecialchars函数过滤掉HTML实体或者自己写过滤函数:
function dangerchr($var){
$var = str_replace("/t","",$msg);
$var = str_replace("<","<",$msg);
$var = str_replace(">",">",$msg);
$var = str_replace("/r","",$msg);
$var = str_replace("/n","<br />",$msg);
$var = str_replace(" "," ",$msg);
}
- php中安全防范1
- php中安全防范1
- PHP开发中安全防范知识
- php安全防范
- PHP安全防范!
- PHP安全防范
- PHP安全防范
- 常见的PHP安全防范
- PHP基本安全防范,初学者必看
- Php注入的安全防范方法
- PHP代码安全和SQL Injection防范
- PHP 安全手册 第三条 理论防范
- PHP Liunx 服务安全防范方案
- HTTP攻击与防范--PHP安全配置
- PHP中的代码安全和SQL Injection防范
- PHP中的代码安全和SQL Injection防范
- PHP中的代码安全和SQL Injection防范
- PHP中的代码安全和SQL Injection防范
- asp.net登陆数据库的错误解决
- asp.net 2.0中预设的cookie
- .net 下用javascript调用webservice
- (转).Net程序如何防止被注入(整站通用)
- PHP中防范DDOS攻击一招
- php中安全防范1
- (转)PHP木马攻击的防御之道
- mysql 4.1(5.0)中文问题探讨
- gridview中手工排序
- soap中的bingding style
- sql server 2005中的except和INTERSECT运算
- 六顶帽子思考法
- J2ME中设置欢迎等待画面
- asp.net 2.0中动态修改页面标题