PHP网站的一些常见安全措施

网站安全是网站发展的基础
服务器君一共花费了389.232 ms进行了7次数据库查询,努力地为您提供了这个页面。
试试阅读模式?希望听取您的建议

网站安全是网站发展的基础,其重要性是不言而喻的。我们来谈谈PHP网站一些常见的安全防御措施,虽然简单但是能够有效保障网站的安全运行。

1. 关闭全局变量的注册(register_globals),关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。 

2. web服务器方面,不要以root身份运行web程序,关闭目录浏览,确保web目录之外没有提供服务。 

3. 对于任何可能被污染的数据都要进行过滤(相关过滤函数htmlspecialchars,strip_tags,mysql_real_escape_string .),被污染数据是指所有不能保证合法的数据,例如用户提交的表单,从邮件服务器接收的邮件,及其它web应用中发送过来的xml文档。 

4. 防止语义url攻击,对一些敏感信息的输出或者操作要对用户进行验证,最好重新让用户输入验证一次密码。 

5. 对上传的文件进行检查,包括文件名,大小,以及文件是否为上传的文件,在php.ini中配置最大上传限制,且拒绝不合法的文件名。 

6. 对于由用户输入且要输出到客户端的数据进行转义(htmlentities),以防止跨站的脚本攻击。 

7. 对于网站的配置文件以及需要包含引用但并不需要直接访问的脚本不要放在网站根目录下,只要保证Web服务器对其有读取权限即可。 

8. 对于sql语句中的字符串变量进行转义,密码不能使用明文存入数据库,加密的时候不要简单的md5,最好加一串自定义的随机字符串。 

9. 对于敏感信息不要保存在cookie中,比如用户的密码。对于用户长时间登陆验证的cookie可以使用不易猜测与发现的第二身份标识,保存到数据库中,并且在重新验证过后更新这个标识。 

10. 防止出现后门URL(后门URL指本该通过验证才能正常访问的url却跳过验证机制直接能访问得到。)可以使用单一入口,除了静态文件所有的请求均通过这个脚本文件处理。 

11. include和require语句 的路径参数中最好不要出现由外部传入的变量或者包含外部资源,否则一定要在include和require语句前对数据进行过滤。类似的文件系统的函数也如此,永远不要用被污染的数据去指向一个文件名,要坚持过滤输入。 

12. 避免在脚本中使用系统命令函数,如果要用,避免使用输入的数据来构造命令,如果非要使用输入参数就一定要过滤和转义数据。

13.设定合理的流程防止暴力猜解密码,比如验证码,输错密码后间隔一段时间才能登陆等等。

本文地址:http://www.nowamagic.net/librarys/veda/detail/1984,欢迎访问原出处。

不打个分吗?

转载随意,但请带上本文地址:

http://www.nowamagic.net/librarys/veda/detail/1984

如果你认为这篇文章值得更多人阅读,欢迎使用下面的分享功能。
小提示:您可以按快捷键 Ctrl + D,或点此 加入收藏

大家都在看

阅读一百本计算机著作吧,少年

很多人觉得自己技术进步很慢,学习效率低,我觉得一个重要原因是看的书少了。多少是多呢?起码得看3、4、5、6米吧。给个具体的数量,那就100本书吧。很多人知识结构不好而且不系统,因为在特定领域有一个足够量的知识量+足够良好的知识结构,系统化以后就足以应对大量未曾遇到过的问题。

奉劝自学者:构建特定领域的知识结构体系的路径中再也没有比学习该专业的专业课程更好的了。如果我的知识结构体系足以囊括面试官的大部分甚至吞并他的知识结构体系的话,读到他言语中的一个词我们就已经知道他要表达什么,我们可以让他坐“上位”毕竟他是面试官,但是在知识结构体系以及心理上我们就居高临下。

所以,阅读一百本计算机著作吧,少年!

《编程之美:微软技术面试心得》 《编程之美》小组 (作者)

《编程之美:微软技术面试心得》是一本让人着迷的书!阅读起来。有些题目的内容会引起强烈的共鸣,尤其是那些自己非常熟悉并且又深知解答的题目;也有一些题目让我异常惊诧,原来除了我所知道的解答思路之外,还有更好的解答以及更深层次的原因。还有一些题目是从来没想到过的。阅读过程是一次愉快的享受,也是脑细胞持续活跃的过程。

更多计算机宝库...