?

看之前牢記一句老話：一切用戶輸入的都是不安全的。

1 不要依賴于服務器端的magic_quotes，雖然他們默認都是打開的（magic_quotes_gpc）

將下面兩個關閉
ini_set("magic_quotes_runtime", 0);
ini_set("magic_quotes_sybase", 0);

?? 全部自己手工對所有變量添加magic_quotes，就是添加addslashes
?? 代碼如下：
?? function stripslashes_deep($value){
? $value = is_array($value) ?
???? array_map('stripslashes_deep', $value) :
???? stripslashes($value);
? return $value;
?? }
???
? function strip_slashes(){
?? // If already slashed, strip.
?? //把原有的slash去掉，重新添加自己的magic_quotes
?? if ( get_magic_quotes_gpc() ) {
???? $_GET??? = stripslashes_deep($_GET?? );
???? $_POST?? = stripslashes_deep($_POST? );
???? $_COOKIE = stripslashes_deep($_COOKIE);
???? $_SERVER = stripslashes_deep($_SERVER);
???? $_REQUEST = stripslashes_deep($_REQUEST);
?? }
?? $_GET??? = add_magic_quotes($_GET?? );
?? $_POST?? = add_magic_quotes($_POST? );
?? $_COOKIE = add_magic_quotes($_COOKIE);
?? $_SERVER = add_magic_quotes($_SERVER);
?? $_REQUEST = add_magic_quotes($_REQUEST);
? }

? strip_slashes();

??
?? 顯示的時候全部stripslashes還原，雖然這很麻煩，不過如果你有一個模板引擎，可以在變量賦值的時候，統一作這個事情，
?? 例如：?function assign($var, $value = '') {
??if (is_array($var)) {
???foreach ($var as $k => $v) {
????$this->vars[$k] = stripslashes_deep($v);
???}
??} else {
???$this->vars[$var] = stripslashes_deep($value);
??}
?}

? 這樣可以避免' " \ 等符號，下面還會有說明

2 對于用戶名這樣的字段，輸入時候，檢查不允許有空格，而且必須是字母數字下劃線或劃線這四種，用正則檢查

? 還有諸如結點名，菜單名，角色名這些不需要用' " \的，一定要在錄入之前就檢查，或者用替換為空

3 所有ID為數字的變量，必須檢查是否為數字，并將變量強制轉換成數字
? 如果ID是前面帶0的或者字符型的，可用編碼規則對其進行檢查，例如全是數字的正則

4 對于php的mysql函數，由于天生一次只能執行一條語句，即;不會自動斷。所以無法通過追加語句實現注入，只可能通過將語句插入到變量中來起作用注入，所以對于delete ，select，update都可能有破壞作用。
例如：delete from tbl_users where user_id = 'admin' 變成 delete from tbl_users where user_id = 'admin or user_id<>'0'，即在輸入欄為：admin or user_id<>'0
? 所以對于變量參數：
? 不該有空格的，空格要去掉
? 該位數字的，一定要轉換成數字
? 有編碼規則的，一定要檢查編碼規則
? 有長度限制的一定要加入長度限制
? 絕對不會有注入語句的，就篩查sql關鍵字
? 將一些危險字符進行替換，例如用“代替"，空格用%20代替，特殊字符轉成html等等
? 當然用addslashes還是有明顯效果的，對于php來說，要想在變量中插入條件，必須通過'來完成，所以這一招可以徹底斷了所有企圖
?
5 apache,php,mysql不要以系統用戶運行

6 連接mysql不要用root

7 系統的所有錯誤信息必須關閉或者屏蔽

8 屏蔽非主流瀏覽器的user-agent

9 記錄所有的sql操作和用戶ip，如果發現危險語句，可以立刻屏蔽該IP，例如3天
? 如果是用戶登錄后，有危險sql注入的語句，直接刪除該用戶，同時屏蔽IP

10 對于驗證碼要可以采用使用中文，變換字符串樣式，必須點擊彈出等方法

11 如果還是不安全，就要像電子銀行那樣，用U盾和專用控件了

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1784617