PHP应用程序安全
来源:互联网 发布:windows xp 原版 iso 编辑:程序博客网 时间:2024/06/06 01:13
1 过滤SQL注入攻击
可以使用addslashes等PHP内置的直接给出函数,方便使用
function VerifyInput($input)
{
if (!get_magic_quotes_gpc())
{
//magic_quotes_gpc默认是on的,已经会自动转义'号等字符了
$input = addslashes($input);
}
}
而在显示时则用
<? echo htmlentities(stripslashes(....))?>正常显示之
或者干脆就用 mysql_real_escape_string函数过滤,就很方便了
2 要注意判断变量的类型,比如要判断输入的变量是否是整型
if (is_numeric($pid)).........
但还要对长度进行一下限制,最好写一个函数来判断是否是纯数字,比如
if (strlen($pid)){
if (!ereg("^[0-9]+$",$pid) && strlen($pid) > 5){
给出一个例子
....................
/**
* 检测 $val 是否为纯数字
* @param $val 用户输入的值
* @param $stuff 为 true 时 $val 必须填写, 为 false 时 $val 不是必须要填写的
* @param $mixLen 为数值时,表示 $val 的值必须达到 $mixLen 的长度, 如不须检测填 -1 即可
* @param $maxLen 为数值时,表示 $val 的值必须小于 $maxLen 的长度, 如不须检测埴一大数值即可
* @return $val 格式合法则返回 true, 否则返回 false
*/
function checkNumberOnly($val, $stuff, $mixLen, $maxLen)
{
if($stuff == true)
{
if($val == "")
return false;
if(strlen($val) < $mixLen || strlen($val) > $maxLen)
return false;
if(!eregi("^[0-9]+$", $val))
return false;
}
else if($stuff == false)
{
if($val != "")
{
if(strlen($val) < $mixLen || strlen($val) > $maxLen)
return false;
if(!eregi("^[0-9]+$", $val))
return false;
}
}
return true;
}
3 清除用户输入的HTML标记,如果确定用户不需要输入HTML标记的话,则要过滤掉,比如
$name = strip_tags($_POST['name']);
用strip_tags清除HTML标记
再判断是否符合字母,数字的规则
$name = cleanHex($name);
function cleanHex($input){
$clean = preg_replace\
("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
return $clean;
}
如果要完整还原用户输入的HTML标记的话,可以用htmlspecialchars() 实现
4 防止远程表单提交
防止用户将表单页面保留下来,再去修改提交,可以使用token令牌验证的方法,如
<?php
session_start();
if ($_POST['submit'] == "go"){
if ($_POST['token'] == $_SESSION['token']){
$name = strip_tags($_POST['name']);
}else{
}
}
$token = md5(uniqid(rand(), true));
$_SESSION['token']= $token;
?>
<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">
<p><label for="name">Name</label>
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
<input type="hidden" name="token" value="<?php echo $token;?>"/>
<p><input type="submit" name="submit" value="go"/></p>
</form>
- PHP应用程序安全
- PHP应用程序安全
- 确保 PHP 应用程序的安全
- 确保PHP应用程序的安全
- 确保 PHP 应用程序的安全
- 确保 PHP 应用程序的安全
- 确保 PHP 应用程序的安全
- 确保 PHP 应用程序的安全
- 确保 PHP 应用程序的安全一
- 确保 PHP 应用程序的安全二
- 确保 PHP 应用程序的安全三
- 确保 PHP 应用程序的安全四
- 确保 PHP 应用程序的安全五
- 确保 PHP 应用程序的安全六
- 确保 PHP 应用程序的安全七
- 确保 PHP 应用程序的安全八
- 确保 PHP 应用程序的安全九
- 编写安全 PHP 应用程序的七个习惯
- 如何防止robot骚扰你的网页
- asp.net 2的文件上传
- php里防止注入攻击
- ATLAS拖拉之简单小结
- linux----------------shell 学习----------------
- PHP应用程序安全
- www.asp.net的中文版推出了
- 小TIPS:禁止表单里重复提交
- asp.net 2.0中不同web控件之间的相互调用
- oracle查询有sysDBA权限的用户
- RMI中部署时要注意的地方
- OReilly.Programming.Atlas.Sep.2006一本ATLAS的新书出来了
- j2ee下的单元测试小工具
- FTP两种传输模式小结