• 技术文章 >php教程 >PHP源码

    PHP程序员最易犯10种错误

    2016-06-08 17:32:18原创405
    PHP是个伟大的web开发语言,灵活的语言,但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表,列出了PHP程序员经常犯的10中错误,大多数和安全相关。看看你犯了几种

    1.不转意html entities

    一个基本的常识:所有不可信任的输入(特别是用户从form中提交的数据) ,输出之前都要转意。

    echo $_GET[''usename''] ;


    这个例子有可能输出:

    /*更改admin密码的脚本或设置cookie的脚本*/

    这是一个明显的安全隐患,除非你保证你的用户都正确的输入。

    如何修复 :

    我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >'', and "),函数htmlspecialchars 和 htmlentities()正是干这个活的。

    正确的方法:

    echo htmlspecialchars($_GET[''username''], ENT_QUOTES);




    2. 不转意SQL输入
    我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说,他们已经在php.ini中将magic_quotes设置为On,所以不必担心这个问题,但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的!
    如何修复:

    和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数


    正确做法:
    $sql = "UPDATE users SET
    name=''.mysql_real_escape_string($name).''
    WHERE id=''.mysql_real_escape_string ($id).''";
    mysql_query($sql);
    ?>






    3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
    遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

    每次从服务器下载一个网页的时候,服务器的输出都分成两个部分:头部和正文。
    头部包含了一些非可视的数据,例如cookie。头部总是先到达。正文部分包括可视的html,图片等数据。
    如果output_buffering设置为Off,所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发,而在部署到另一个环境中去的时候,output_buffering的设置可能不一样。结果转向停止了,cookie和session都没有正确的设置........。

    如何修复:
    确保在输出之前调用http-header相关的函数,并且令output_buffering = Off




    4. Require 或 include 的文件使用不安全的数据
    再次强调:不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。


    例如:
    index.php
    //including header, config, database connection, etc
    include($_GET[''filename'']);
    //including footer
    ?>


    现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
    来获取你的机密信息,或执行一个PHP脚本。


    如果allow_url_fopen=On,你更是死定了:
    试试这个输入:
    http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

    现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件,改变密码,删除文件等等。只要你能想得到。
    <
    声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn核实处理。
    专题推荐:PHP quot header HTTP mysql
    上一篇:三天学会php(有asp编程基础) 下一篇:书评Object-Orientated Programming with PHP5
    VIP课程(WEB全栈开发)

    相关文章推荐

    • 【腾讯云】年中优惠,「专享618元」优惠券!• uploadify+PHPExcel无刷新导入数据-完善中3• PHP 添加水印 & 比例缩略图 & 固定高度 & 固定宽度 类• PHP把数组编译成URL格式• 在PHP中模拟asp的response类 • 收藏PHP常用自定义函数
    1/1

    PHP中文网

    首页 首页课程 课程文章文章问答 问答博客博客词典 词典手册 手册资源 资源搜索 搜索APP下载 APP下载