分类目录归档:php中级

2014
11-07

PHP之道——代码风格指南

PHP社区百花齐放,拥有大量的函数库、框架和组件。PHP开发者通常会在自己的项目中使用若干个外部库,因而PHP代码遵循或尽量接近同一个代码风格就非常重要,可以让开发者方便地把多个代码库集成在自己的项目中。框架互操作组(即PHP标准组)发布了一系列代码风格推荐标准,即PSR-0,PSR-1,PSR-2和PSR-3。不要让这些名称所混淆,这些推荐仅是一些被其它项目所遵循的规则,如Drupal,Zend,Symfony,CakePHP,phpBB,AWSSDK,Fuel... 继续阅读 >
2014
11-07

PHP安全之简介和总则

简介PHP作为一种强大的语言,无论是以模块还是 CGI 的方式安装,它的解释器都可以在服务器上访问文件、运行命令以及创建网络连接等。这些功能也许会给服务器添加很多不安全因素,但是只要正确地安装和配置PHP,以及编写安全的代码,那么PHP相对于Perl和C来说,是能创建出更安全的CGI程序的。而且,也可以在可用性和安全性之间找到一个很好的平衡点。PHP可能会被用在很多不同的方面,因此,PHP内置的选项... 继续阅读 >
2014
11-07

PHP安全之以CGI 模式安装时可能遇到的攻击及解决办法

如果不想把PHP嵌入到服务器端软件(如Apache)作为一个模块安装的话,可以选择以 CGI 的模式安装。或者把PHP用于不同的CGI封装以便为代码创建安全的chroot和setuid环境。这种安装方式通常会把PHP的可执行文件安装到web服务器的cgi-bin目录。尽管PHP可以作为一个独立的解释器,但是它的设计使它可以防止下面类型的攻击:访问系统文件:http://my.host/cgi-bin/php?/etc/passwd 在URL请求的问号(?)后面... 继续阅读 >
2014
11-07

PHP安全之以Apache模式安装时可能遇到的攻击及解决办法

当PHP以Apache模块方式安装时,它将继承Apache用户(通常为“nobody”)的权限。这对安全和认证有一些影响。比如,如果用PHP来访问数据库,除非数据库有自己的访问控制,否则就要使“nobody”用户可以访问数据库。这意味着恶意的脚本在不用提供用户名和密码时就可能访问和修改数据库。一个webSpider也完全有可能偶然发现数据库的管理页面,并且删除所有的数据库。可以通过Apache认证来避免此问题,或者用LDAP、.htac... 继续阅读 >
2014
11-07

PHP安全之文件系统安全及防范措施

PHP遵从大多数服务器系统中关于文件和目录权限的安全机制。这就使管理员可以控制哪些文件在文件系统内是可读的。必须特别注意的是全局的可读文件,并确保每一个有权限的用户对这些文件的读取动作都是安全的。PHP被设计为以用户级别来访问文件系统,所以完全有可能通过编写一段PHP代码来读取系统文件如/etc/passwd,更改网络连接以及发送大量打印任务等等。因此必须确保PHP代码读取和写入的是合适的文件。请看下面的代码... 继续阅读 >
2014
11-07

PHP安全之文件系统安全——Null字符问题

由于PHP的文件系统操作是基于C语言的函数的,所以它可能会以您意想不到的方式处理Null字符。Null字符在C语言中用于标识字符串结束,一个完整的字符串是从其开头到遇见Null字符为止。以下代码演示了类似的攻击:Example#1会被Null字符问题攻击的代码<?php$file=$_GET['file'];//"../../etc/passwd\0"if(file_exists('/home/wwwrun/'.$file.'.php')){//文件/home/wwwrun/../../etc/passw... 继续阅读 >
2014
11-07

PHP安全之数据库安全——SQL注入及预防措施

很多web开发者没有注意到SQL查询是可以被篡改的,因而把SQL查询当作可信任的命令。殊不知道,SQL查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过SQL查询去运行主机操作系统级的命令。直接SQL命令注入就是攻击者常用的一种创建或修改已有SQL语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成SQL... 继续阅读 >
2014
11-07

PHP安全之数据库安全——设计、连接和加密

设计数据库第一步一般都是创建数据库,除非是使用第三方的数据库服务。当创建一个数据库的时候,会指定一个所有者来执行和新建语句。通常,只有所有者(或超级用户)才有权对数据库中的对象进行任意操作。如果想让其他用户使用,就必须赋予他们权限。应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库,因为这些帐号可以执行任意的操作,比如说修改数据库结构(例如删除一个表)或者清空整个数据库的内容。应该为程... 继续阅读 >
2014
11-07

PHP安全之错误报告

对于PHP的安全性来说错误报告是一把双刃剑。一方面可以提高安全性,另一方面又有害。攻击系统时经常使用的手法就是输入不正确的数据,然后查看错误提示的类型及上下文。这样做有利于攻击者收集服务器的信息以便寻找弱点。比如说,如果一个攻击者知道了一个页面所基于的表单信息,那么他就会尝试修改变量:Example#1用自定义的HTML页面攻击变量<formmethod="post"action="attacktarget?username=badfoo&amp;password... 继续阅读 >
2014
11-07

PHP安全之使用 Register Globals

本特性已自PHP5.3.0起废弃并将自PHP5.4.0起移除。可能 PHP 中最具争议的变化就是从 PHP 4.2.0 版开始配置文件中 PHP 指令 register_globals 的默认值从on改为off了。对此选项的依赖是如此普遍以至于很多人根本不知道它的存在而以为 PHP 本来就是这么工作的。本节会解释用这个指令如何写出不安全的代码,但要知道这个指令本身没有不安全的地方,误用才会。当... 继续阅读 >
2014
11-07

PHP安全之用户提交的数据

很多PHP程序所存在的重大弱点并不是PHP语言本身的问题,而是编程者的安全意识不高而导致的。因此,必须时时注意每一段代码可能存在的问题,去发现非正确数据提交时可能造成的影响。Example#1危险的变量用法<?php//从用户目录中删除一个文件,或者……能删除更多的东西?unlink($evil_var);//记录用户的登陆,或者……能否在/etc/passwd添加数据?fwrite($fp,$evil_var);//执行一些普通的命... 继续阅读 >
2014
11-07

PHP安全之魔术引号——什么是魔术引号以及如何使用

注:魔术引号特性已自PHP5.3.0起废弃并将自PHP5.4.0起移除。什么是魔术引号当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令:magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST和COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。magic_quotes_runtime 如果打开的话,大部份从外部... 继续阅读 >
2014
11-07

PHP安全之隐藏PHP脚本扩展名

一般而言,通过隐藏的手段提高安全性被认为是作用不大的做法。但某些情况下,尽可能的多增加一份安全性都是值得的。一些简单的方法可以帮助隐藏PHP,这样做可以提高攻击者发现系统弱点的难度。在 php.ini 文件里设置expose_php=off,可以减少他们能获得的有用信息。另一个策略就是让web服务器用PHP解析不同扩展名。无论是通过 .htaccess 文件还是Apache的配置文件,都可以设置能误导攻击者的文件扩展名:Exampl... 继续阅读 >
2014
11-07

PHP特点之用 PHP 进行 HTTP 认证

PHP的 HTTP 认证机制仅在PHP以Apache模块方式运行时才有效,因此该功能不适用于CGI版本。在Apache模块的PHP脚本中,可以用 header() 函数来向客户端浏览器发送“AuthenticationRequired”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有URL的PHP脚本将会加上预定义变量PHP_AUTH_USER,PHP_AUTH_PW 和 AUTH_TYPE 被再次调用,这三个变量分别被设定... 继续阅读 >
2014
11-07

PHP特点之会话机制1——Cookie的使用

PHP透明地支持 HTTP cookie。cookie是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。可以用 setcookie() 或 setrawcookie() 函数来设置cookie。cookie是 HTTP 标头的一部分,因此 setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对 header() 函数的限制类似。可以使用输出缓冲函数来延迟脚本的输出,直到按需要设置好了所有的cookie或... 继续阅读 >
2014
11-07

PHP特点之会话机制2——Session及其使用

会话机制(Session)在PHP中用于保存并发访问中的一些数据。这使可以帮助创建更为人性化的程序,增加站点的吸引力。一个访问者访问你的web网站将被分配一个唯一的id,就是所谓的会话id.这个id可以存储在用户端的一个cookie中,也可以通过URL进行传递.会话支持允许你将请求中的数据保存在超全局数组$_SESSION中.当一个访问者访问你的网站,PHP将自动检查(如果 session.auto_start被设置为1)或者在你要求下... 继续阅读 >
2014
11-07

PHP特点之文件上传1——使用POST方法上传单文件和多文件

本特性可以使用户上传文本和二进制文件。用PHP的认证和文件操作函数,可以完全控制允许哪些人上传以及文件上传后怎样处理。PHP能够接受任何来自符合RFC-1867标准的浏览器(包括 NetscapeNavigator3 及更高版本,打了补丁的 MicrosoftInternetExplorer3 或者更高版本)上传的文件。Note: 相关的设置请参阅 php.ini 的 file_uploads,upload_max_filesize,upload_tmp_dirpost_max_size 以及 max_input_time... 继续阅读 >
2014
11-07

PHP特点之文件上传2——错误信息说明

从PHP4.2.0开始,PHP将随文件信息数组一起返回一个对应的错误代码。该代码可以在文件上传时生成的文件数组中的 error 字段中被找到,也就是 $_FILES['userfile']['error']。UPLOAD_ERR_OK其值为0,没有错误发生,文件上传成功。UPLOAD_ERR_INI_SIZE其值为1,上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。UPLOAD_ERR_FORM_SIZE其值为2,上传文件的大小超过了HTML表单中 MAX_FILE_SIZE ... 继续阅读 >
2014
11-07

PHP特点之文件上传3——常见缺陷

对 MAX_FILE_SIZE 设置的值,不能大于ini设置中 upload_max_filesize 选项设置的值。其默认值为2M字节。如果内存限制设置被激活,可能需要将 memory_limit 设置的更大些,请确认 memory_limit 的设置足够的大。如果 max_execution_time 设置的值太小,脚本运行的时间可能会超过该设置。因此,也请保证 max_execution_time 足够的大。Note: max_execution_time 仅仅只影响脚本本身运行的时间。任何其它花费在... 继续阅读 >
2014
11-07

PHP特点之文件上传4——多文件上传

可以对 input 域使用不同的 name 来上传多个文件。PHP支持同时上传多个文件并将它们的信息自动以数组的形式组织。要完成这项功能,需要在HTML表单中对文件上传域使用和多选框与复选框相同的数组式提交语法。Note:对多文件上传的支持是在PHP3.0.10版本添加的。Example#1上传多个文件<formaction="file-upload.php"method="post"enctype="multipart/form-data">Sendthesefiles:<br/><inputname="user... 继续阅读 >
2014
11-07

PHP特点之使用远程HTTP文件及FTP文件操作

只要在 php.ini 文件中激活了 allow_url_fopen 选项,就可以在大多数需要用文件名作为参数的函数中使用 HTTP 和 FTP 的URL来代替文件名。同时,也可以在 include、include_once、 require 及 require_once 语句中使用URL。PHP所支持协议的更多信息参见支持的协议和封装协议。注意:要在PHP4.0.3及其更早的版本中使用URL封装协议,需要在编译时... 继续阅读 >
2014
11-07

PHP特点之三种连接状态的处理——normal、aborted、timeout

在PHP内部,系统维护着连接状态,其状态有三种可能的情况:0-NORMAL(正常)1-ABORTED(异常退出)2-TIMEOUT(超时)当PHP脚本正常地运行NORMAL状态时,连接为有效。当远程客户端中断连接时,ABORTED状态的标记将会被打开。远程客户端连接的中断通常是由用户点击STOP按钮导致的。当连接时间超过PHP的时限时,TIMEOUT状态的标记将被打开。可以决定脚本是否需要在客户端中断连接时退出。有时候让脚本完整地... 继续阅读 >