##register_globals的安全性 本特性已自php5.3.0起废弃并自PHP5.4.0起移除,故不作研究。
##不要让不干系的人看到报错信息
只要关闭display_errors就可以做到,如果你希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。
所有的出错报告级别可以在任意级别进行修正。
PHP许可通过set_error_handler()函数指定自己的出错处理函数。
##网站安全设计的一些原则
深度戒备:冗余安全方法
最小权限:只能给予每个人完成他本职事情所必须的只管即便少的权限。
大略便是美:没有必要的繁芜与没有必要的风险一样糟糕。
暴露最小化:数据暴露必须只管即便最小化。
##可用性与数据跟踪
平衡风险与可用性:用户操作的友好性与安全方法是一对抵牾,在提高安全性的同时,常日会降落可用性。只管即便是安全方法对用户透明。
跟踪数据:不但是要知道它是什么和它在哪里,还要知道它从哪里来,要到哪里去。
##过滤用户输入
过滤输入的步骤:识别输入;过滤输入;区分已过滤及被污染数据
输入是指所有源自外部的数据。一样平常来说,把session保存位置与数据库算作是输入是更为安全的。
过滤是防止造孽数据进入你的运用。
最好的过滤方法是把过滤算作一个检讨的过程。请不要试图好心地去纠正造孽数据,要让你的用户按你的规则去做,历史证明了试图纠正造孽数据每每会导致安全漏洞。
利用一个命名约定或其他可以帮助你精确和可靠地区分已过滤和被污染数据的方法。如:$clean
常常初始化$clean为一个空数组
加入检讨及阻挡来自外部数据源的变量命名为clean。
##对输出要进行转义
对输出进行转义或对分外字符进行编码,以担保原意不变。
输出转义三步:识别输出;输出转义;区分已转义与未转义数据
只对已过滤数据进行转义。
对一些常见的输出目标(包括客户端、数据库和URL)的转义,PHP中有内置函数可用。
利用htmlentities()在数据发出提高行转义是最好的方法。利用此函数的最佳办法是指定它的两个可选参数:引号的转义办法及字符集。
利用一个命名参数保存转义数据:$html
对付mysql用户,最好的转义函数时mysql_real_escape_string(),如果你利用的数据库没有PHP内建转义函数可用的话,addslashed()是末了的选择。
##表单与数据安全
数据分类:已过滤数据;被污染数据
所有你自己设定的可信数据,可以认为是已过滤数据。
任何来自远程数据源的数据都是输入,而所有的输入数据都是被污染的,必须在要在利用前对其进行过滤。
##从URL的语义进行攻击
例子:找回密码。
漏洞:在URL中暴露用户名
办理方法:利用session跟踪精确回答问题的用户
##文件上传攻击的防御
上传文件参数数组$_FILES是一个超级全局数组,里面的内容tmp_name,error及size是PHP所供应的
须要对这些参数进行检讨。如tmp_name利用is_uploaded_file()函数判断是否为一个上传的文件。
如果希望只把上传的文件移到一个固定位置,可以利用move_uploaded_file() 可以用filesize()函数来校验文件的大小。
最佳的方法是永久尽可能少地去信赖。
##跨站脚本攻击的防御 输入和输出要做过滤和转义 htmlentities
##跨站要求假造CSRF的防御 CSRF(Cross-Site Request Forgery)
CSRF攻击:攻击者盗用了你的身份,以你的名义发送而已要求。
只许可GET要求检索数据,但是不许可它修正做事器上的任何数据。
防御:在客户端页面增加伪随机数
所有表单包含同一个伪随机数验证码图片所有表单包含不同的伪随机数
##表单欺骗提交
攻击者可以通过查看网页源代码来获取表单中的action查看POST的目的地,进而推断出POST的绝对地址。然后再假造一个表单,并取消各种限定进行攻击。
这种攻击是不能防止的。但只要做好数据的过滤,用户就必须遵守你的规则,与攻击者如何提交无关。
##HTTP要求欺骗 即假造一个HTTP要求。
欺骗HTTP要求的做法并不多,对它不应该过多关注。但这个征象的涌现再次强调了过滤输入的主要性和HTTP要求供应的任何信息都是不可信的这个事实。
##不要暴露数据库访问权限
把数据库配置文件放在网站根目录以外的目录下
或者把配置文件后缀改为.php
##防止SQL注入
过滤输入,转义输出
转义发送给数据库的数据
利用占位符
##cookie暴露导致session被挟制
利用cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会话标识保存在cookie中,cookie的暴露便是一个严重的风险,由于它能导致会话挟制。
##session挟制的防御
利用SSL
验证User-Agent
##防止源代码的暴露
把所有包含文件放在网站主目录之外
修正apache/nginx文件,把配置文件当做php文件一样处理
##把稳后门URL
后门URL是指虽然无需直接调用的资源能直接通过URL访问。
为了防止后门URL,须要确认所有包含文件保存在网站主目录以外。所有保存在网站主目录下的文件都是必须要通过URL直接访问的。
##阻挡文件名被操纵
利用动态包含时目录名或文件名中的部分会保存在一个变量中。比如放在$_GET。
防止的方案:在动态包含时永久不要利用被污染数据。
##文件包含的代码注入攻击
如果引入的外部文件中包含可实行代码(如PHP代码)的话,就会被程序解析,造成攻击。 办理方法:在include和require语句前对数据进行过滤。
##文件目录预测漏洞
防御方案: 让利用者屈服你制订的规则。(如:文件名只包含字母) basename函数在检讨是否有不必要的路径时非常有用。
##打开远程文件的风险
永久不要用被污染的数据去实行一个文件名。坚持过滤输入,同时确信在数据指向另一个文件名之前被过滤即可。
##shell命令注入
可能的话,避免利用shell命令。实在要用的话,确保对布局命令串的数据进行过滤,同时必须要对输出进行转义。
##暴力破解攻击
暴力攻击是一种不该用任何分外手段而去穷举各种可能性的攻击办法。即穷举攻击法。 限定在上一次验证失落败后对同一用户再试考试测验的频率。
##密码嗅探和重播攻击
利用SSL可以有效地防止HTTP要乞降回应不被暴露。
防止重播攻击:设定受保护资源永久访问权的数据的利用;设定受保护资源访问权的数据的暴露(乃至是只供应临时访问权的数据)
##记住登录状态的做法
永久登录是指在浏览器会话间进行持续验证的机制。
永久登录降落了验证机制的安全性,但它增加了可用性。
该当从三个方面来限定永久登录cookie的利用:cookie需在一周内过期;cookie最好只能用于一次验证(在一次成功验证后即删除或重新天生);在做事端限定cookie在一周内过期。
该当设计一个方法来减轻被捕获的永久登录cookie造成的风险
另一个有用的原则是:在用户实行敏感操作前须要用户供应密码。
须要确认登出系统的用户是确实登出了。(如setcookie(‘auth’, ‘DELETED!’, time()))
##共享主机的源码安全
此问题没有完美的办理方案。你必须考虑所有你的源码都是公开的,乃至是保存在WEB目录之外的代码也是如此。
最好的办法是把所有的敏感数据存放在数据库中。
保存数据库密码的方案是把你的数据库访问权限保存在一个只有系统管理员才能读取的文件中。
##更优的会话数据安全
把会话信息保存在数据库。(session_set_save_handler)
##会话数据注入
此类攻击的缘故原由是由于WEB做事器除了对会话存储目录有读取权限外,还有写入权限。办理这个问题的方法是将会话数据保存在数据库中。
##主机文件目录浏览
攻击者可以写脚本获取主机的文件目录。由于共享做事器上的文件都是公开的。
##PHP的安全模式 PHP的安全模式可以认为是一种深度戒备机制。
