Ben sadece öğrenme PHP başlayan, uzun bir süre için ASP.Net web uygulamaları geliştirme oldum. Ben bakan olması gereken herhangi bir PHP specific güvenlik hataları varsa ben merak ediyordum.
Yani, benim soru her bir PHP geliştiricisi bilmeli üst düzey güvenlik ipuçları budur.
Kişi etkin aşağı yukarı oy böylece cevap başına bir ucuna saklayın.
Kullanmaktan kaçının register_globals
burada iyi PHP güvenlik programlama uygulamaları bir bağlantıdır.
Güvenlik sorunları çoğu kullanıcı girişi (doğal olarak) ve onlar üzerinde sıkmayın emin etrafında döner. Daima girişi doğrulamak emin olun.
http://htmlfixit.com/cgi-tutes/tutorial_PHP_Security_Issues.php
(Belirli bir sırayla Adet)
EDIT: "yeni başlayanlar" için orada bu yüzden temel (ve ben bu açıklamaya vaktim beri):
Küresellerle Ol bir sapma olduğunu. Bu, şimdiye kadar son güvenlik delik. Register_globals açıksa Örneğin, url http://www.yourdomain.com/foo.php?isAdmin=1 hiçbir kod gerekli olan global bir değişken olarak $ IsAdmin ilan edecek. Ben bu "özelliği" PHP için yol yaptı Neden bilmiyorum, ama the people behing this should have the following tattooed on their forehead: "I invented PHP Register Globals" so we can flee them like pest when we see them! yok
Magic tırnak PHP için yol yapmış bir başka aptalca bir fikir. Temelde, PHP AÇIK otomatik olarak tırnak kaçış ne zaman ('\ olur' ve "olur \") SQL enjeksiyon saldırıları ile yardımcı olmak. Kavramı (enjeksiyon saldırıları önlemek) kötü değil, ama all GET kaçan, POST ve COOKIE değerleri (örneğin, görüntüleme ve veri zaman her şey Unescape var) kod çok karmaşık hale getirmektedir. Bir gün kodunda herhangi bir değişiklik yapmadan bu ayarı OFF geçerseniz artı, tüm kodu ve / veya veri kırık ve (evet sizin ON savunmasız bile) enjeksiyon saldırıları için (hatta daha fazla) savunmasızdır.
Sizin databse veri sitenizde en değerli şeydir. Sen onunla karmaşa insanların istiyorum, bu yüzden kendinizi korumak ve bu düşünce ile and kod bu konuda bir şeyler okumam.
Yine bu güvenlik endişelerine yol açabilir. Hata mesajı kod çalışır nasıl hackes için ipuçları verebilir. Ayrıca bu mesajları ziyaretçiler için bir şey demek istemiyorum, neden onları ekmek?
Dil Vs Programcı. Sen en ciddi güvenlik açığı yazabilir ve bir uyarı veya hata iletisi almazsınız. Güvenlik Açıkları kodunuzu 2 karakterler ekleyerek veya kaldırarak kadar basit olabilir. PHP uygulamalarını etkileyen açıkları farklı yüzlerce çeşit vardır. Onlar en popüler çünkü çoğu insan XSS ve SQL Injection düşünüyorum.
OWASP top 10 okuyun.
Bir mysql veritabanı kullanıyorsanız veritabanına veri gönderirken emin mysql_real_escape_string çağrı yapmak
Suhosin Hardening Patch bakmak, ve security vulnerabilities that it addresses check out.
PHPSec Guide iyi bir bakış verir.
Genellikle tanıtım öğreticiler kullanıcıların verileri denetleme konusunda hiç konuşmak yok. Tüm programlama ortamlarının gibi, kullanıcıların almak verileri güven asla. Sisteminizi korumak için is_numeric(), isset() gibi fonksiyonlarını kullanmayı öğrenin ve mysql_real_escape_string().
Eğer uzak dosyaları, ve diğer yaratıcı şeyler erişmek için izin özellikleri de vardır. Eğer iyi nasıl ve ne zaman onlar (genellikle güvenlik nedeniyle devre dışı) çalışmak anlamak zorunda kadar ben o önlemek istiyorum.
Mümkün (diyorum "neredeyse" Orada onlar işe yaramazsa birkaç kullanım olgu), ve çünkü uğraşırken bile zaman kullanıcı girişi ile ilgili zaman (tutorial. Neredeyse bir zorunluluktur hazırlanmış ifadelerini kullanan girişi ile, onlar daha iyi performans yol açabilir cabası. alışkanlığı tutmak ve bir LOT daha kolay, sen parça parça hijyenikleştirmeye daha şeyler salıncak, içine almak.
