原文:Useful functions to provide secure PHP application 译文:实用的PHP安全函数 译者:dwqs 安全是编程很重要的一个方面。在不论什么一种编程语言中,都提供了很多的函数或者模块来确保程序的安全性。在现代站点应用中,常常要获取来自世界各地用户的输 ...
分类:
Web程序 时间:
2017-04-17 22:05:57
阅读次数:
193
很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略! 0x01:禁用远程url文件处理功能 像fopen的文件处理函数,接受文件的rul参数(例如: ...
分类:
Web程序 时间:
2017-04-17 15:56:11
阅读次数:
205
'; //error_reporting(E_ERROR); $isopen = 1; if(isset($_GET['op_sec_rule_open'])) $isopen =intval($_GET['op_sec_rule_open']); //当参数值在20~2048 之间时,进行检查 f... ...
分类:
Web程序 时间:
2017-03-22 15:12:35
阅读次数:
371
1、php.ini 修改 open_basedir='d:\wwwroot' //配置只能访问指定的网站目录 2、php.ini 修改 disable_funcitons=system,passthru,exec,shellexec,popen,phpinfo ...
分类:
Web程序 时间:
2017-03-20 16:44:29
阅读次数:
212
(1)magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理 (2)防止对数字值的SQL注入,如用intval()等函数进行处理 (3)mysql_real_escape_string( string ) addslashes(s ...
分类:
数据库 时间:
2017-03-09 11:46:43
阅读次数:
165
一、SQL注入攻击(SQL Injection) 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过 ...
分类:
Web程序 时间:
2016-12-30 01:44:54
阅读次数:
176
<php /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_repla ...
分类:
Web程序 时间:
2016-12-28 18:29:03
阅读次数:
185
phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中 passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高 exec() 功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。 ...
分类:
Web程序 时间:
2016-12-23 18:46:46
阅读次数:
207
1. addslashes() addslashes()对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有mysql_real_escape_s ...
分类:
数据库 时间:
2016-11-23 07:22:52
阅读次数:
189
推荐安全配置选项 这里有几个会影响安全功能的 PHP 配置设置。下面是一些显然应该用于生产服务器的: register_globals 设置为 offsafe_mode 设置为 offerror_reporting 设置为 off。如果出现错误了,这会向用户浏览器发送可见的错误报告信息。对于生产服务 ...
分类:
Web程序 时间:
2016-11-02 14:19:16
阅读次数:
168
