亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

PHP+MySQL安全方案整理

系統 1946 0

?

看之前牢記一句老話:一切用戶輸入的都是不安全的。


1 不要依賴于服務器端的magic_quotes,雖然他們默認都是打開的(magic_quotes_gpc)

將下面兩個關閉
ini_set("magic_quotes_runtime", 0);
ini_set("magic_quotes_sybase", 0);

?? 全部自己手工對所有變量添加magic_quotes,就是添加addslashes
?? 代碼如下:
?? function stripslashes_deep($value){
? $value = is_array($value) ?
???? array_map('stripslashes_deep', $value) :
???? stripslashes($value);
? return $value;
?? }
???
? function strip_slashes(){
?? // If already slashed, strip.
?? //把原有的slash去掉,重新添加自己的magic_quotes
?? if ( get_magic_quotes_gpc() ) {
???? $_GET??? = stripslashes_deep($_GET?? );
???? $_POST?? = stripslashes_deep($_POST? );
???? $_COOKIE = stripslashes_deep($_COOKIE);
???? $_SERVER = stripslashes_deep($_SERVER);
???? $_REQUEST = stripslashes_deep($_REQUEST);
?? }
?? $_GET??? = add_magic_quotes($_GET?? );
?? $_POST?? = add_magic_quotes($_POST? );
?? $_COOKIE = add_magic_quotes($_COOKIE);
?? $_SERVER = add_magic_quotes($_SERVER);
?? $_REQUEST = add_magic_quotes($_REQUEST);
? }

? strip_slashes();

??
?? 顯示的時候全部stripslashes還原,雖然這很麻煩,不過如果你有一個模板引擎,可以在變量賦值的時候,統一作這個事情,
?? 例如:?function assign($var, $value = '') {
??if (is_array($var)) {
???foreach ($var as $k => $v) {
????$this->vars[$k] = stripslashes_deep($v);
???}
??} else {
???$this->vars[$var] = stripslashes_deep($value);
??}
?}


? 這樣可以避免' " \ 等符號,下面還會有說明

2 對于用戶名這樣的字段,輸入時候,檢查不允許有空格,而且必須是字母數字下劃線或劃線這四種,用正則檢查

? 還有諸如結點名,菜單名,角色名這些不需要用' " \的,一定要在錄入之前就檢查,或者用替換為空

3 所有ID為數字的變量,必須檢查是否為數字,并將變量強制轉換成數字
? 如果ID是前面帶0的或者字符型的,可用編碼規則對其進行檢查,例如全是數字的正則

4 對于php的mysql函數,由于天生一次只能執行一條語句,即;不會自動斷。所以無法通過追加語句實現注入,只可能通過將語句插入到變量中來起作用注入,所以對于delete ,select,update都可能有破壞作用。
例如:delete from tbl_users where user_id = 'admin' 變成 delete from tbl_users where user_id = 'admin or user_id<>'0',即在輸入欄為:admin or user_id<>'0
? 所以對于變量參數:
? 不該有空格的,空格要去掉
? 該位數字的,一定要轉換成數字
? 有編碼規則的,一定要檢查編碼規則
? 有長度限制的一定要加入長度限制
? 絕對不會有注入語句的,就篩查sql關鍵字
? 將一些危險字符進行替換,例如用“代替",空格用%20代替,特殊字符轉成html等等
? 當然用addslashes還是有明顯效果的,對于php來說,要想在變量中插入條件,必須通過'來完成,所以這一招可以徹底斷了所有企圖
?
5 apache,php,mysql不要以系統用戶運行

6 連接mysql不要用root

7 系統的所有錯誤信息必須關閉或者屏蔽

8 屏蔽非主流瀏覽器的user-agent

9 記錄所有的sql操作和用戶ip,如果發現危險語句,可以立刻屏蔽該IP,例如3天
? 如果是用戶登錄后,有危險sql注入的語句,直接刪除該用戶,同時屏蔽IP

10 對于驗證碼要可以采用使用中文,變換字符串樣式,必須點擊彈出等方法

11 如果還是不安全,就要像電子銀行那樣,用U盾和專用控件了



Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1784617


PHP+MySQL安全方案整理


更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦!!!

發表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 日本不卡视频免费 | 久久亚洲精品国产精品婷婷 | 中文字幕伊人久久网 | 成人在线免费观看 | 亚州精品一区二区三区 | 日本高清视频一区二区三区 | 99爱在线观看精品视频 | 全免费a级毛片免费看不卡 全免费a级毛片免费看视频免 | 久久爱伊人一区二区三区小说 | 四虎影视8848a四虎在线播放 | 欧美日韩在大午夜爽爽影院 | 九九在线免费观看视频 | 国产目拍亚洲精品区一区 | 欧美日韩综合精品一区二区三区 | 夜色精品国产一区二区 | 久久中文字幕在线观看 | 福利在线看 | 一级aa毛片 | 大乳妇女bd视频在线观看 | 亚洲一区中文字幕在线观看 | 最近中文字幕无吗高清视频 | 久久久久9 | 亚洲综合日韩欧美一区二区三 | 99影视在线视频免费观看 | 99久久精品国产自免费 | 精品久久久久久久久久久久久久久 | 天天干天天爽天天射 | 日本1区2区3区 | 2020国产成人免费视频 | 女人大毛片一级毛片一 | 久久精品国产丝袜 | 伊人一区 | a久久久久一级毛片护士免费 | 欧美性色xo影院在线观看 | 橘梨纱视频一区二区在线观看 | 欧美成人免费视频a | 欧美一区二区三区视视频 | 丝袜三级| 99久久精品免费看国产麻豆 | 极品色综合| 日韩精品福利视频一区二区三区 |