高清国产av一区二区三区_亚洲欧美日韩在线_无码熟妇人妻av在线影片免费_在线无码一级伊伊_爽好舒服高H自慰软件_亚洲熟女区偷拍区高清区_午夜福利影院啪啪_亚洲国产黄片在线播放_中文字幕日韩精品乐乐影院_久久国产亚洲日韩欧美精品

建議安裝Suhosin補丁，必裝安全補丁

Php.Ini安全設置

Register_global = Off

Magic_quotes_gpc = Off

Display_error = Off

Log_error = On

# Allow_url_fopen = Off

Expose_php = Off

Open_basedir =

Safe_mode = On

Disable_function = Exec,System,Passthru,Shell_exec,Escapeshellarg,Escapeshellcmd,Proc_close,Proc_open,Dl,Popen,Show_source,Get_cfg_var

Safe_mode_include_dir =

DB SQL預處理

Mysql_real_escape_string (很多PHPer仍在依靠Addslashes防止SQL注入，但是這種方式對中文編碼仍然是有問題的。Addslashes的問題在于黑客可以用 0xbf27來代替單引號，GBK編碼中0xbf27不是一個合法字符，因此Addslashes只是將0xbf5c27，成為一個有效的多字節(jié)字符，其 中的0xbf5c仍會被看作是單引號，具體見這篇文章)。用Mysql_real_escape_string函數(shù)也需要指定正確的字符集，否則依然可能 有問題。

Prepare + Execute(PDO)

ZendFramework可以用DB類的Quote或者QuoteInto, 這兩個方法是根據(jù)各種數(shù)據(jù)庫實施不用方法的，不會像Mysql_real_escape_string只能用于Mysql

用戶輸入的處理

無需保留HTML標簽的可以用以下方法

Strip_tags, 刪除String中所有Html標簽

Htmlspecialchars，只對”<”,”>”,”;”,”’”字符進行轉(zhuǎn)義

Htmlentities，對所有Html進行轉(zhuǎn)義

必須保留HTML標簽情況下可以考慮以下工具：

HTML Purifier: HTML Purifier Is A Standards-Compliant HTML Filter Library Written In PHP.

PHP HTML Sanitizer: Remove Unsafe Tags And Attributes From HTML Code

HtmLawed: PHP Code To Purify & Filter HTML

上傳文件

用Is_uploaded_file和Move_uploaded_file函數(shù)，使用HTTP_POST_FILES[]數(shù)組。并通過去掉上傳目錄的PHP解釋功能來防止用戶上傳Php腳本。

ZF框架下可以考慮使用File_upload模塊

Session，Cookie和Form的安全處理

不要依賴Cookie進行核心驗證，重要信息需要加密, Form Post之前對傳輸數(shù)據(jù)進行哈希, 例如你發(fā)出去的Form元素如下:



<Input Type="Hidden" Name="H[Name]" Value="<?Php Echo $Oname?>"/> <Input Type="Hidden" Name="H[Age]" Value="<?Php Echo $Oage?>"/> <?Php $Sign = Md5('Name'.$Oname.'Age'.$Oage.$Secret); ?> <Input Type="Hidden" Name="Hash" Value="<?Php Echo $Sign?>"" /> 　　POST回來之后對參數(shù)進行驗證

$Str = "";

Foreach(

<# WebPartBody #>POST['H'] As $Key=>$Value) {

$Str .= $Key.$Value;

}

If(

<# WebPartBody #>POST['Hash'] != Md5($Str.$Secret)) {

Echo "Hidden Form Data Modified"; Exit;

}

PHP安全檢測工具(XSS和SQL Insertion)

Wapiti - Web Application Security Auditor(Wapiti - 小巧的站點漏洞檢測工具) (SQL Injection/XSS攻擊檢查工具)

安裝/使用方法:

Apt-Get Install Libtidy-0.99-0 Python-Ctypes Python-Utidylib

Python Wapiti.Py Http://Your Website URL/ -M GET_XSS

Pixy: XSS And SQLI Scanner For PHP( Pixy - PHP 源碼缺陷分析工具)

安裝: Apt-Get Install Default-Jdk