PHP保证数据安全_如何保证数据安全

php安全配置 如何配置使其更安全

第一段：Web服务器安全

[mail function]

SMTP = localhost

第二段：PHP本身问题

①.、远程溢出

执行如下的URL：

# 注意,下面这两个必须是不存在的,或者它们的属主和本脚本的属主是一样

$fd = fopen($cf, "w");

fwrite($fd, "OQ/tmp

Sparse=0

Mlocal, P=/bin/sh, A=sh $script");

fclose($fd);

$fd = fopen($script, "w");

fwrite($fd, "rm -f $script $cf; ");

fwrite($fd, $cmd);

mail("nobody", "", "", "", "-C$cf");

还是使用以上有问题版本PHP的用户一定要及时升级到最新版本,这样才能消除基本的安全问题.

第三段：PHP本身的安全配置

PHP的配置非常灵活,可以通过php.ini, httpd.conf, .htaccess文件（该目录必须设置了AllowOverride All或Options）进行设置,还可以在脚本程序里使用ini_set()及其他的特定的函数进行设置.通过phpinfo()和get_cfg_var()函数可以得到配置选项的各个值.

如果配置选项是唯一PHP_INI_SYSTEM属性的,必须通过php.ini和httpd.conf来修改,它们修改的是PHP的Master值,但修改之后必须重启apache才能生效.其中php.ini设置的选项是对Web服务器所有脚本生效,httpd.conf里设置的选项是对该定义的目录下所有脚本生效.

如果还有其他的PHP_INI_USER, PHP_INI_PERDIR, PHP_INI_ALL属性的选项就可以使用.htaccess文件设置,也可以通过在脚本程序自身用ini_set()函数设定,它们修改的是Local值,改了以后马上生效.但是.htaccess只对当前目录的脚本程序生效,ini_set()函数只对该脚本程序设置ini_set()函数以后的代码生效.各个版本的选项属性可能不尽相同,可以用如下命令查找当前源代码的main.c文件得到所有的选项,以及它的属性：

# grep PHP_INI_ /PHP_SRC/main/main.c

在讨论PHP安全配置之前,应该好好了解PHP的safe_mode模式.

①.、safe_mode

safe_mode是唯一PHP_INI_SYSTEM属性,必须通过php.ini或httpd.conf来设置.要启用safe_mode,只需修改php.ini：

safe_mode = On

或者修改httpd.conf,定义目录：

Directory /var/www

Options FollowSymLinks

php_admin_value safe_mode 1

/Directory

重启apache后safe_mode就生效了.启动safe_mode,会对许多PHP函数进行限制,特别是和系统相关的文件打开、命令执行等函数.

所有操作文件的函数将只能操作与脚本UID相同的文件,比如test.php脚本的内容为：

include("index.html")?

几个文件的属性如下：

# ls -la

在浏览器请求test.php会提示如下的错误信息：

如果被操作文件所在目录的UID和脚本UID一致,那么该文件的UID即使和脚本不同也可以访问的,不知这是否是PHP的一个漏洞还是另有隐情.所以php脚本属主这个用户最好就只作这个用途,绝对禁止使用root做为php脚本的属主,这样就达不到safe_mode的效果了.

如果想将其放宽到GID比较,则打开 safe_mode_gid可以考虑只比较文件的GID,可以设置如下选项：

safe_mode_gid = On

设置了safe_mode以后,所有命令执行的函数将被限制只能执行php.ini里safe_mode_exec_dir指定目录里的程序,而且shell_exec、+ls -l+这种执行命令的方式会被禁止.如果确实需要调用其它程序,可以在php.ini做如下设置：

safe_mode_exec_dir = /usr/local/php/exec

然后拷贝程序到该目录,那么php脚本就可以用system等函数来执行该程序.而且该目录里的shell脚本还是可以调用其它目录里的系统命令.

safe_mode_include_dir string

当从此目录及其子目录（目录必须在 include_path 中或者用完整路径来包含）包含文件时越过 UID/GID 检查.

指定的限制实际上是一个前缀,而非一个目录名.这也就是说"safe_mode_include_dir = /dir/incl"将允许访问"/dir/include"和"/dir/incls",如果它们存在.如果您希望将访问控制在一个指定的目录,那么请在结尾加上一个斜线,例如："safe_mode_include_dir = /dir/incl/".

safe_mode_allowed_env_vars string

设置某些环境变罧赡苁乔痹诘陌踩?笨凇1局噶畎?幸桓龆汉欧指舻那白毫斜怼T诎踩?J较拢?没E荒芨谋淠切┟?志哂性谡饫锾峁┑那白旱幕肪潮淞俊D?锨榭鱿拢?没E荒苌柚靡?PHP_ 开头的环境变量（例如 PHP_FOO = BAR）.

注: 如果本指令为空,PHP 将使用户可以修改任何环境变量！

safe_mode_protected_env_vars string

本指令包含有一个逗号分隔的环境变量的列表,最终用户不能用 putenv() 来改变这些环境变量.甚至在 safe_mode_allowed_env_vars 中设置了允许修改时也不能改变这些变量.

虽然safe_mode不是万能的（低版本的PHP可以绕过）,但还是强烈建议打开安全模式,在一定程度上能够避免一些未知的攻击.不过启用safe_mode会有很多限制,可能对应用带来影响,所以还需要调整代码和配置才能和谐.被安全模式限制或屏蔽的函数可以参考PHP手册.

讨论完safe_mode后,下面结合程序代码实际可能出现的问题讨论如何通过对PHP服务器端的配置来避免出现的漏洞.

PHP默认register_globals = On,对于GET, POST, Cookie, Environment, Session的变罧梢灾苯幼⒉岢扇?直淞俊K?堑淖⒉崴承蚴荚ariables_order = "EGPCS"（可以通过php.ini修改）,同名变量variables_order右边的覆盖左边,所以变量的滥用极易造成程序的混乱.而且脚本程序员往往没有对变量初始化的习惯,像如下的程序片断就极易受到攻击：

//test_1.php

if ($pass == "hello")

$auth = 1;

if ($auth == 1)

echo "some important information";

else

echo "nothing";

攻击者只需用如下的请求就能绕过检查：

这虽然是一个很弱智的错误,但一些著名的程序也有犯过这种错误,比如phpnuke的远程文件拷贝漏洞

解决方法：

配置文件php.ini设置register_globals = Off.

要求程序员对作为判断的变量在程序最开始初始化一个值.

极易受攻击的代码片断：

if (!($str = readfile("$filename"))) {

echo("Could not open file: $filenameBR\n");

exit;

}

else {

echo $str;

由于攻击者可以指定任意的$filename,攻击者用如下的请求就可以看到/etc/passwd：

如下请求可以读php文件本身：

PHP中文件打开函数还有fopen(), file()等,如果对文件名变量检查不严就会造成服务器重要文件被访问读取.

如非特殊需要,把php的文件操作限制在web目录里面.以下是修改apache配置文件httpd.conf的一个例子：

Directory /usr/local/apache/htdocs

php_admin_value open_basedir /usr/local/apache/htdocs

重启apache后,/usr/local/apache/htdocs目录下的PHP脚本就只能操作它自己目录下的文件了,否则PHP就会报错：

Warning: open_basedir restriction in effect. File is in wrong directory in xxx on line xx.

使用safe_mode模式也能避免这种问题,前面已经讨论过了.

if(file_exists($filename))

include("$filename");

这种不负责任的代码会造成相当大的危害,攻击者用如下请求可以得到/etc/passwd文件：

如果对于Unix版的PHP（Win版的PHP不支持远程打开文件）攻击者可以在自己开了http或ftp服务的机器上建立一个包含shell命令的文件,的内容是?passthru("ls /etc")?,那么如下的请求就可以在目标主机执行命令ls /etc：

攻击者甚至可以通过包含apache的日志文件access.log和error.log来得到执行命令的代码,不过由于干扰信息太多,有时不易成功.

对于另外一种形式,如下代码片断：

include("$lib/config.php");

攻击者可以在自己的主机建立一个包含执行命令代码的config.php文件,然后用如下请求也可以在目标主机执行命令：

PHP的包含函数有include(), include_once(), require(), require_once.如果对包含文件名变量检查不严就会对系统造成严重危险,可以远程执行命令.

要求程序员包含文件里的参数尽量不要使用变量,如果使用变量,就一定要严格检查要包含的文件名,绝对不能由用户任意指定.

如前面文件打开中限制PHP操作路径是一个必要的选项.另外,如非特殊需要,一定要关闭PHP的远程文件打开功能.修改php.ini文件：

allow_url_fopen = Off

重启apache.

php的文件上传机制是把用户上传的文件保存在php.ini的upload_tmp_dir定义的临时目录（默认是系统的临时目录,如：/tmp）里的一个类似phpxXuoXG的随机临时文件,程序执行结束,该临时文件也被删除.PHP给上传的文件定义了四个变量：（如form变量名是file,而且register_globals打开）

$file #就是保存到服务器端的临时文件（如/tmp/phpxXuoXG ）

$file_size #上传文件的大小

$file_name #上传文件的原始名称

$file_type #上传文件的类型

推荐使用：

$HTTP_POST_FILES[file][tmp_name]

$HTTP_POST_FILES[file][size]

$HTTP_POST_FILES[file][name]

$HTTP_POST_FILES[file][type]

这是一个最简单的文件上传代码：

if(isset($upload) $file != "none") {

copy($file, "/usr/local/apache/htdocs/upload/".$file_name);

html

head

title文件上传/title

/head

body bgcolor="#FFFFFF"

form enctype="multipart/form-data" method="post"

上传文件:

input type="submit" name="upload" value="上传"

/form

/body

/html

这样的上传代码存在读取任意文件和执行命令的重大问题.

下面的请求可以把/etc/passwd文档拷贝到web目录/usr/local/apache/htdocs/test（注意：这个目录必须nobody可写）下的attack.txt文件里：

... ile_name=attack.txt

然后可以用如下请求读取口令文件：

攻击者可以把php文件拷贝成其它扩展名,泄漏脚本源代码.

攻击者可以自定义form里file_name变量的值,上传覆盖任意有写权限的文件.

攻击者还可以上传PHP脚本执行主机的命令.

使用$HTTP_POST_FILES数组来读取用户上传的文件变量.

严格检查上传变量.比如不允许是php脚本文件.

把PHP脚本操作限制在web目录可以避免程序员使用copy函数把系统文件拷贝到web目录.move_uploaded_file不受open_basedir的限制,所以不必修改php.ini里upload_tmp_dir的值.

把PHP脚本用phpencode进行加密,避免由于copy操作泄漏源码.

严格配置文件和目录的权限,只允许上传的目录能够让nobody用户可写.

对于上传目录去掉PHP解释功能,可以通过修改httpd.conf实现：

Directory /usr/local/apache/htdocs/upload

php_flag engine off

重启apache,upload目录的php文件就不能被apache解释了,即使上传了php文件也没有问题,只能直接显示源码.

下面的代码片断是从PHPNetToolpack摘出,详细的描述见：

system("traceroute $a_query",$ret_strs);

由于程序没有过滤$a_query变量,所以攻击者可以用分号来追加执行命令.

攻击者输入如下请求可以执行cat /etc/passwd命令：

;cat /etc/passwd

PHP的命令执行函数还有system(), passthru(), popen()和++等.命令执行函数非常危险,慎用.如果要使用一定要严格检查用户输入.

要求程序员使用escapeshellcmd()函数过滤用户输入的shell命令.

如下的SQL语句如果未对变量进行处理就会存在问题：

select * from login where user=$user and pass=$pass

攻击者可以用户名和口令都输入1 or 1=1绕过验证.

不过幸亏PHP有一个默认的选项magic_quotes_gpc = On,该选项使得从GET, POST, COOKIE来的变量自动加了addslashes()操作.上面SQL语句变成了：

select * from login where user=1\ or 1=\1 and pass=1\ or 1=\1

从而避免了此类sql_inject攻击.

对于数字类型的字段,很多程序员会这样写：

select * from test where id=$id

由于变量没有用单引号扩起来,就会造成sql_inject攻击.幸亏MySQL功能简单,没有sqlserver等数据库有执行命令的SQL语句,而且PHP的mysql_query()函数也只允许执行一条SQL语句,所以用分号隔开多条SQL语句的攻击也不能奏效.但是攻击者起码还可以让查询语句出错,泄漏系统的一些信息,或者一些意想不到的情况.

要求程序员对所有用户提交的要放到SQL语句的变量进行过滤.

即使是数字类型的字段,变量也要用单引号扩起来,MySQL自己会把字串处理成数字.

在MySQL里不要给PHP程序高级别权限的用户,只允许对自己的库进行操作,这也避免了程序出现问题被 SELECT INTO OUTFILE ... 这种攻击.

PHP默认显示所有的警告及错误信息：

error_reporting = E_ALL ~E_NOTICE

在平时开发调试时这非常有用,可以根据警告信息马上找到程序错误所在.

正式应用时,警告及错误信息让用户不知所措,而且给攻击者泄漏了脚本所在的物理路径,为攻击者的进一步攻击提供了有利的信息.而且由于自己没有访问到错误的地方,反而不能及时修改程序的错误.所以把PHP的所有警告及错误信息记录到一个日志文件是非常明智的,即不给攻击者泄漏物理路径,又能让自己知道程序错误所在.

修改php.ini中关于Error handling and logging部分内容：

error_reporting = E_ALL

log_errors = On

error_log = /usr/local/apache/logs/php_error.log

然后重启apache,注意文件/usr/local/apache/logs/php_error.log必需可以让nobody用户可写.

如果觉得有些函数还有威胁,可以设置php.ini里的disable_functions（这个选项不能在httpd.conf里设置）,比如：

disable_functions = phpinfo, get_cfg_var

可以指定多个函数,用逗号分开.重启apache后,phpinfo, get_cfg_var函数都被禁止了.建议关闭函数phpinfo, get_cfg_var,这两个函数容易泄漏服务器信息,而且没有实际用处.

①.0、disable_classes

①.1、open_basedir

前面分析例程的时候也多次提到用open_basedir对脚本操作路径进行限制,这里再介绍一下它的特性.用open_basedir指定的限制实际上是前缀,不是目录名.也就是说 "open_basedir = /dir/incl" 也会允许访问 "/dir/include" 和 "/dir/incls",如果它们存在的话.如果要将访问限制在仅为指定的目录,用斜线结束路径名.例如："open_basedir = /dir/incl/".

可以设置多个目录,在Windows中,用分号分隔目录.在任何其它系统中用冒号分隔目录.作为Apache模块时,父目录中的open_basedir路径自动被继承.

第四段：其它安全配置

①.、取消其它用户对常用、重要系统命令的读写执行权限

如果要取消某程如果是在chroot环境里,这个工作比较容易实现,否则,这项工作还是有些挑战的.因为取消一些程序的执行权限会导致一些服务运行不正常.PHP的mail函数需要/bin/sh去调用sendmail发信,所以/bin/bash的执行权限不能去掉.这是一项比较累人的工作,

apache的access-log给一些出现本地包含漏洞的程序提供了方便之门.通过提交包含PHP代码的URL,可以使access-log包含PHP代码,那么把包含文件指向access-log就可以执行那些PHP代码,从而获得本地访问权限.

如果有其它虚拟主机,也应该相应去掉该日志文件其它用户的读权限.

当然,如果你按照前面介绍的配置PHP那么一般已经是无法读取日志文件了.

php连接数据库安全吗源码

安全.php连接数据库有三层密码层层防护,源码很安全.数据库是"按照数据结构来组织、存储和管理数据的仓库",是一个长期存储在计算机内的集合.

php怎么保证两个网站之间传输数据安全

使用数据加密,或者使用https协议来传输数据.

数据加密建议使用自己的加密方式,加密的key是关键,这个一定不能泄露,两个网站的服务器都需要有这个key,发送数据时发送方加密数据,将密文传输给接收方,接收方同样用key解密即可.只要key不泄露,就算数据被人拦截,也是加密过的密文,通常没有Key是解不开的.

https协议可以自动为传输数据加密,不过就要求https协议证书了,这个数字证书是需要申请的.

PHP如何做好最基础的安全防范

PHP如何做好最基础的安全防范

php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,PHP如何做好最基础的安全防范呢?下面我为大家解答一下,希望能帮到您！

当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现.PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说.每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如开发一个论坛或者是一个购物车等.

安全保护一般性要点

不相信表单

对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器.需要在服务器端进行验证,对每个php脚本验证传递到的数据,防止XSS攻击和SQL注入.

不相信用户

要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理

关闭全局变量

在php.ini文件中进行以下配置：

register_globals = Off

如果这个配置选项打开之后,会出现很大的安全隐患.例如有一个process.php的脚本文件,会将接收到的数据插入到数据库,接收用户输入数据的表单可能如下：

这样,当提交数据到process.php之后,php会注册一个$username变量,将这个变量数据提交到process.php,同时对于任何POST或GET请求参数,都会设置这样的变量.如果不是显示进行初始化那么就会出现下面的问题：

?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

?

此处,假设authenticated_user函数就是判断$authorized变量的值,如果开启了register_globals配置,那么任何用户都可以发送一个请求,来设置$authorized变量的值为任意值从而就能绕过这个验证.所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取,包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等,其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量,默认的顺序是$_COOKIE、$_POST、$_GET.

推荐的安全配置选项

error_reporting设置为Off：不要暴露错误信息给用户,开发的时候可以设置为ON

safe_mode设置为Off

register_globals设置为Off

将以下函数禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ,这样可以让session信息有存储权限,同时设置单独的网站根目录expose_php设置为Offallow_url_fopen设置为Offallow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句,需要特别注意安全性,因为用户可能输入特定语句使得原有的SQL语句改变了功能.类似下面的例子：

$sql ="select * from pinfo where product = '$product'";

那么最终SQL语句就变成了如下的+样子：

DROP pinfo;

SELECT 'FOO'

这样就会变成三条SQL语句,会造成pinfo表被删除,这样会造成严重的后果.这个问题可以简单的使用PHP的内置函数解决：

$sql = 'Select * from pinfo where product = '"' mysql_real_escape_string($product) . '"';

防止基本的XSS攻击

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length 0) {

$string = substr ( $string , 0, $length );

}return $string ;

这样浏览器渲染的结果其实是：

a href = ""

SCRIPT Dosomethingmalicious

这样就达到了攻击的目的.为了防止这种情况,需要在transform_HTML函数的基础上再将#和%转换为他们对应的实体符号,同时加上了$length参数来限制提交的数据的最大长度.

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护非常简单,但是不包含用户的所有标记,同时有上百种绕过过滤函数提交javascript代码的方法,也没有办法能完全阻止这个情况.目前,没有一个单一的脚本能保证不被攻击突破,但是总有相对来说防护程度更好的.一共有两个安全防护的方式：白名单和黑名单.其中白名单更加简单和有效.一种白名单解决方案就是SafeHTML,它足够智能能够识别有效的HTML,然后就可以去除任何危险的标签.这个需要基于HTMLSax包来进行解析.安装使用SafeHTML的方法：

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml -parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

SafeHTML并不能完全防止XSS攻击,只是一个相对复杂的脚本来检验的方式.

使用单向HASH加密方式来保护数据

?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

}?

mcrypt函数需要以下信息：

①.、待加密数据

, MCRYPT_DES

）

;

php有什么安全规则,有哪些?

php安全篇值过滤用户输入的人参数

规则 1：绝不要信任外部数据或输入

例如,下面的数据元素可以被认为是安全的,因为它们是在PHP中设置的.

复制代码 代码如下:

php

$myUsername = 'tmyer';

$arrayUsers = array('tmyer', 'tom', 'tommy');define("GREETING", 'hello there' . $myUsername);?

但是,下面的数据元素都是有瑕疵的.

$myUsername = $_POST['username']; //tainted!

$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!

define("GREETING", 'hello there' . $myUsername); //tainted!

解决方案很简单：必须对 $_POST['username'] 运行清理代码.如果不这么做,那么在使用 $myUsername 的任何其他时候（比如在数组或常量中）,就可能污染这些对象.

对用户输入进行清理的一个简单方法是,使用正则表达式来处理它.在这个示例中,只希望接受字母.将字符串限制为特定数量的字符,或者要求所有字母都是小写的,这可能也是个好主意.

$myUsername = cleanInput($_POST['username']); //clean!

$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!

define("GREETING", 'hello there' . $myUsername); //clean!

function cleanInput($input){

$clean = strtolower($input);

return $clean;

一些开发人员使用奇怪的语法,或者将语句组织得很紧凑,形成简短但是含义模糊的代码.这种方式可能效率高,但是如果您不理解代码正在做什么,那么就无法决定如何保护它.

例如,您喜欢下面两段代码中的哪一段?

//obfuscated code

$input = (isset($_POST['username']) ? $_POST['username']:");//unobfuscated code

$input = ";

if (isset($_POST['username'])){

$input = $_POST['username'];

}else{

在第二个比较清晰的代码段中,很容易看出 $input 是有瑕疵的,需要进行清理,然后才能安全地处理.

本教程将用示例来说明如何保护在线表单,同时在处理表单的 PHP 代码中采用必要的措施.同样,即使使用 PHP regex 来确保 GET 变量完全是数字的,仍然可以采取措施确保 SQL 查询使用转义的用户输入.

纵深防御不只是一种好思想,它可以确保您不会陷入严重的麻烦.

既然已经讨论了基本规则,现在就来研究第一种威胁：SQL 注入攻击.

防止 SQL 注入攻击

在 SQL 注入攻击 中,用户通过操纵表单或 GET 查询字符串,将信息添加到数据库查询中.例如,假设有一个简单的登录数据库.这个数据库中的每个记录都有一个用户名字段和一个密码字段.构建一个登录表单,让用户能够登录.

titleLogin/title

body

form action="verify.php" method="post"

plabel for='user'Username/label

input type='text' name='user' id='user'/

/p

plabel for='pw'Password/label

input type='password' name='pw' id='pw'/

pinput type='submit' value='login'//p

这个表单接受用户输入的用户名和密码,并将用户输入提交给名为 verify.php 的文件.在这个文件中,PHP 处理来自登录表单的数据,如下所示：

$okay = 0;

$username = $_POST['user'];

$pw = $_POST['pw'];

$sql = "select count(*) as ctr from users where username='".$username."' and password='". $pw."' limit 1″;$result = mysql_query($sql);

while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){

//they're okay to enter the application!

$okay = 1;

if ($okay){

$_SESSION['loginokay'] = true;

header("index.php");

header("login.php");

这 段代码看起来没问题,对吗?世界各地成百（甚至成千）的 PHP/MySQL 站点都在使用这样的代码.它错在哪里?好,记住 "不能信任用户输入".这里没有对来自用户的任何信息进行转义,所以呢使应用程序容易受到攻击.具体来说,可能会出现任何类型的 SQL 注入攻击.

例如,如果用户输入 foo 作为用户名,输入 ' or '1+='1 作为密码,那么实际上会将以下字符串传递给 PHP,然后将查询传递给 MySQL：

$sql = "select count(*) as ctr from users where username='foo' and password=" or '1+='1+ limit 1″;?

这个查询总是返回计数值 1,所以呢 PHP 会允许进行访问.通过在密码字符串的末尾注入某些恶意 SQL,黑客就能装扮成合法的用户.

$sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". mysql_real_escape_string($pw)."' limit 1″;$result = mysql_query($sql);

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入.如果用户尝试通过 SQL 注入传递畸形的密码,那么会将以下查询传递给数据库：

select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1+ limit 1″数据库中没有任何东西与这样的密码匹配.仅仅采用一个简单的步骤,就堵住了 Web 应用程序中的一个大漏洞.这里得出的经验是,总是应该对 SQL 查询的用户输入进行转义.

但是,还有几个安全漏洞需要堵住.下一项是操纵 GET 变量.

防止用户操纵 GET 变量

在前一节中,防止了用户使用畸形的密码进行登录.如果您很聪明,应该应用您学到的方法,确保对 SQL 语句的所有用户输入进行转义.

$pid = $_GET['pid'];

//we create an object of a fictional class Page$obj = new Page;

$content = $obj-fetchPage($pid);

在这种情况下,要记住基本规则,不要信任用户输入.应用程序开发人员知道 template.php 接受的个人标识符（PID）应该是数字,所以可以使用 PHP 的 is_numeric()函数确保不接受非数字的 PID,如下所示：

if (is_numeric($pid)){

//didn't pass the is_numeric() test, do something else!

这个方法似乎是有效的,但是以下这些输入都能够轻松地通过 is_numeric() 的检查：

①.00 （有效）

①.00.1 （不应该有小数位）

清单 10. 使用正则表达式限制 GET 变量

if (strlen($pid)){

//do something appropriate, like maybe logging them out or sending them back to home page}

//empty $pid, so send them back to the home page}

//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;

需 要做的只是使用 strlen() 检查变量的长度是否非零；如果是,就使用一个全数字正则表达式来确保数据元素是有效的.如果 PID 包含字母、斜线、点号或任何与十六进制相似的内容,那么这个例程捕获它并将页面从用户活动中屏蔽.如果看一下 Page 类幕后的情况,就会看到有安全意识的 PHP 开发人员已经对用户输入 $pid 进行了转义,从而保护了 fetchPage() 方法,如下所示：

清单 11. 对 fetchPage() 方法进行转义

class Page{

function fetchPage($pid){

$sql = "select pid,title,desc,kw,content,status from page where pid='".mysql_real_escape_string($pid)."'";}

您可能会问,"既然已经确保 PID 是数字,那么为什么还要进行转义?" 因为不知道在多少不同的上下文和情况中会使用 fetchPage() 方法.必须在调用这个方法的所有地方进行保护,而方法中的转义体现了纵深防御的意义.

} else {

//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;

缓冲区溢出攻击

缓冲区溢出攻击 试图使 PHP 应用程序中（或者更精确地说,在 Apache 或底层操作系统中）的内存分配缓冲区发生溢出.请记住,您可能是使用 PHP 这样的高级语言来编写 Web 应用程序,但是最终还是要调用 C（在 Apache 的情况下）.与大多数低级语言一样,C 对于内存分配有严格的规则.

缓冲区溢出攻击向缓冲区发送大量数据,使部分数据溢出到相邻的内存缓冲区,从而破坏缓冲区或者重写逻辑.这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码.