当前位置:首页 > PHP教程 > php应用 > 列表

高手整理的PHP+MySQL安全方案

发布:smiling 来源: PHP粉丝网  添加日期:2015-04-09 13:27:25 浏览: 评论:0 

在网站上,我们要想象每个访问者都是恶心的,这样才能整出更安全的网站,下面是高手整理的php+mysql安全方案,对于初学都特别有用.

1、不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的magic_quotes_gpc,将下面两个关闭:

ini_set("magic_quotes_runtime", 0);

ini_set("magic_quotes_sybase", 0);

全部自己手工对所有变量添加magic_quotes,就是添加addslashes,代码如下:

  1. function stripslashes_deep($value){ 
  2.     $value = is_array($value) ? 
  3.     array_map('stripslashes_deep'$value) : 
  4.     stripslashes($value); 
  5.     return $value
  6.  
  7. function strip_slashes(){ 
  8.     // If already slashed, strip. 
  9.     //把原有的slash去掉,重新添加自己的magic_quotes 
  10.     if ( get_magic_quotes_gpc() ) { 
  11.         $_GET    = stripslashes_deep($_GET); 
  12.         $_POST   = stripslashes_deep($_POST  ); 
  13.         $_COOKIE = stripslashes_deep($_COOKIE); 
  14.         $_SERVER = stripslashes_deep($_SERVER); 
  15.         $_REQUEST = stripslashes_deep($_REQUEST); 
  16.     }  //开源软件:phpfensi.com 
  17.     $_GET    = add_magic_quotes($_GET   ); 
  18.     $_POST   = add_magic_quotes($_POST  ); 
  19.     $_COOKIE = add_magic_quotes($_COOKIE); 
  20.     $_SERVER = add_magic_quotes($_SERVER); 
  21.     $_REQUEST = add_magic_quotes($_REQUEST); 
  22. strip_slashes(); 

显示的时候全部stripslashes还原,虽然这很麻烦,不过如果你有一个模板引擎,可以在变量赋值的时候,统一作这个事情,例如如下代码:

  1. function assign($var$value = '') { 
  2.   if (is_array($var)) { 
  3.    foreach ($var as $k => $v) { 
  4.     $this->vars[$k] = stripslashes_deep($v); 
  5.    } 
  6.   } else { 
  7.    $this->vars[$var] = stripslashes_deep($value); 
  8.   } 
  9.  } 

这样可以避免' " 等符号,下面还会有说明.

2、对于用户名这样的字段,输入时候,检查不允许有空格,而且必须是字母数字下划线或划线这四种,用正则检查,还有诸如结点名,菜单名,角色名这些不需要用' " 的,一定要在录入之前就检查,或者用替换为空.

3、所有ID为数字的变量,必须检查是否为数字,并将变量强制转换成数字,如果ID是前面带0的或者字符型的,可用编码规则对其进行检查,例如全是数字的正则.

4、对于php的mysql函数,由于天生一次只能执行一条语句,即;不会自动断,所以无法通过追加语句实现注入,只可能通过将语句插入到变量中来起作用注入,所以对于delete ,select,update都可能有破坏作用,例如:

delete from tbl_users where user_id = 'admin' 变成 delete from tbl_users where user_id = 'admin or user_id<>'0',即在输入栏为:admin or user_id<>'0

所以对于变量参数:

不该有空格的,空格要去掉,该位数字的,一定要转换成数字,有编码规则的,一定要检查编码规则,有长度限制的一定要加入长度限制,绝对不会有注入语句的,就筛查sql关键字,将一些危险字符进行替换,例如用“代替",空格用%20代替,特殊字符转成html等等,当然用addslashes还是有明显效果的,对于php来说,要想在变量中插入条件,必须通过'来完成,所以这一招可以彻底断了所有企图.

5、apache,php,mysql不要以系统用户运行

6、连接mysql不要用root

7、系统的所有错误信息必须关闭或者屏蔽

8、屏蔽非主流浏览器的user-agent

9、记录所有的sql操作和用户ip,如果发现危险语句,可以立刻屏蔽该IP,例如3天,如果是用户登录后,有危险sql注入的语句,直接删除该用户,同时屏蔽IP.

10、对于验证码要可以采用使用中文,变换字符串样式,必须点击弹出等方法.

11、如果还是不安全,就要像电子银行那样,用U盾和专用控件了.

Tags: PHP+MySQL PHP安全

分享到: