PHP開發(fā)中值得注意的問題是？

php開發(fā)過程中，需要注意的安全細(xì)節(jié)，其實(shí)不只是php其它語言通用。

公司主營業(yè)務(wù)：成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出承德縣免費(fèi)做網(wǎng)站回饋大家。

作為PHP程序員，特別是新手，對于互聯(lián)網(wǎng)的險惡總是知道的太少，對于外部的入侵有很多時候是素手無策的，他們根本不知道黑客是如何入侵的、提交入侵、上傳漏洞、sql 注入、跨腳本攻擊等等。作為最基本的防范你需要注意你的外部提交，做好第一面安全機(jī)制處理防火墻。

規(guī)則 1：絕不要信任外部數(shù)據(jù)或輸入

關(guān)于Web應(yīng)用程序安全性，必須認(rèn)識到的第一件事是不應(yīng)該信任外部數(shù)據(jù)。外部數(shù)據(jù)(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數(shù)據(jù)。在采取措施確保安全之前，來自任何其他來源(比如 GET 變量、表單 POST、數(shù)據(jù)庫、配置文件、會話變量或Cookie)的任何數(shù)據(jù)都是不可信任的。

規(guī)則 2：禁用那些使安全性難以實(shí)施的PHP設(shè)置

已經(jīng)知道了不能信任用戶輸入，還應(yīng)該知道不應(yīng)該信任機(jī)器上配置 PHP 的方式。例如，要確保禁用 register_globals。如果啟用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替換同名的 GET 或 POST 字符串。通過禁用這個設(shè)置，PHP 強(qiáng)迫您在正確的名稱空間中引用正確的變量。要使用來自表單 POST 的變量，應(yīng)該引用 $_POST['variable']。這樣就不會將這個特定變量誤會成 cookie、會話或 GET 變量。

規(guī)則 3：如果不能理解它，就不能保護(hù)它

一些開發(fā)人員使用奇怪的語法，或者將語句組織得很緊湊，形成簡短但是含義模糊的代碼。這種方式可能效率高，但是如果您不理解代碼正在做什么，那么就無法決定如何保護(hù)它。例如，您喜歡下面兩段代碼中的哪一段?

規(guī)則 4：“縱深防御” 是新的法寶

本教程將用示例來說明如何保護(hù)在線表單，同時在處理表單的 PHP 代碼中采用必要的措施。同樣，即使使用 PHP regex 來確保 GET 變量完全是數(shù)字的，仍然可以采取措施確保 SQL 查詢使用轉(zhuǎn)義的用戶輸入。縱深防御不只是一種好思想，它可以確保您不會陷入嚴(yán)重的麻煩。既然已經(jīng)討論了基本規(guī)則，現(xiàn)在就來研究第一種威脅：SQL 注入攻擊。

◆防止SQL注入攻擊

在SQL注入攻擊中，用戶通過操縱表單或 GET 查詢字符串，將信息添加到數(shù)據(jù)庫查詢中。例如，假設(shè)有一個簡單的登錄數(shù)據(jù)庫。這個數(shù)據(jù)庫中的每個記錄都有一個用戶名字段和一個密碼字段。構(gòu)建一個登錄表單，讓用戶能夠登錄。

哪位高手請幫幫我！急?。?/h2>

你可以看看下面的文章。對你可能有幫助

IE不能上網(wǎng)瀏覽的常見原因和解決方法：

一、網(wǎng)絡(luò)設(shè)置的問題

這種原因比較多出現(xiàn)在需要手動指定IP、網(wǎng)關(guān)、DNS服務(wù)器聯(lián)網(wǎng)方式下，及使用代理服務(wù)器上網(wǎng)的。仔細(xì)檢查計算機(jī)的網(wǎng)絡(luò)設(shè)置。

二、DNS服務(wù)器的問題

當(dāng)IE無法瀏覽網(wǎng)頁時，可先嘗試用IP地址來訪問，如用 Bbs.winzheng.com 的，如果可以訪問，那么應(yīng)該是DNS的問題，造成DNS的問題可能是連網(wǎng)時獲取DNS出錯或DNS服務(wù)器本身問題，這時你可以手動指定DNS服務(wù)（地址可以是你當(dāng)?shù)豂SP提供的DNS服務(wù)器地址，也可以用其它地方可正常使用DNS服務(wù)器地址。）在網(wǎng)絡(luò)的屬性里進(jìn)行，（控制面板—網(wǎng)絡(luò)和拔號連接—本地連接—右鍵屬性—TCP/IP協(xié)議—屬性—使用下面的DNS服務(wù)器地址）。不同的ISP有不同的DNS地址。有時候則是路由器或網(wǎng)卡的問題，無法與ISP的DNS服務(wù)連接，這種情況的話，可把路由器關(guān)一會再開，或者重新設(shè)置路由器。

還有一種可能，是本地DNS緩存出現(xiàn)了問題。為了提高網(wǎng)站訪問速度，系統(tǒng)會自動將已經(jīng)訪問過并獲取IP地址的網(wǎng)站存入本地的DNS緩存里，一旦再對這個網(wǎng)站進(jìn)行訪問，則不再通過DNS服務(wù)器而直接從本地DNS緩存取出該網(wǎng)站的IP地址進(jìn)行訪問。所以，如果本地DNS緩存出現(xiàn)了問題，會導(dǎo)致網(wǎng)站無法訪問。可以在“運(yùn)行”中執(zhí)行ipconfig /flushdns來重建本地DNS緩存。

三、IE瀏覽器本身的問題

當(dāng)IE瀏覽器本身出現(xiàn)故障時，自然會影響到瀏覽了；或者IE被惡意修改破壞也會導(dǎo)致無法瀏覽網(wǎng)頁。這時可以嘗試用“黃山IE修復(fù)專家”來修復(fù)（建議到安全模式下修復(fù)），或者重新IE（如重裝IE遇到無法重新的問題，可參考：附一解決無法重裝IE）

四、網(wǎng)絡(luò)防火墻的問題

如果網(wǎng)絡(luò)防火墻設(shè)置不當(dāng)，如安全等級過高、不小心把IE放進(jìn)了阻止訪問列表、錯誤的防火墻策略等，可嘗試檢查策略、降低防火墻安全等級或直接關(guān)掉試試是否恢復(fù)正常。

五、網(wǎng)絡(luò)協(xié)議和網(wǎng)卡驅(qū)動的問題

IE無法瀏覽，有可能是網(wǎng)絡(luò)協(xié)議（特別是TCP/IP協(xié)議）或網(wǎng)卡驅(qū)動損壞導(dǎo)致，可嘗試重新網(wǎng)卡驅(qū)動和網(wǎng)絡(luò)協(xié)議。

六、HOSTS文件的問題

HOSTS文件被修改，也會導(dǎo)致瀏覽的不正常，解決方法當(dāng)然是清空HOSTS文件里的內(nèi)容。

七、系統(tǒng)文件的問題

當(dāng)與IE有關(guān)的系統(tǒng)文件被更換或損壞時，會影響到IE正常的使用，這時可使用SFC命令修復(fù)一下，WIN98系統(tǒng)可在“運(yùn)行”中執(zhí)行SFC，然后執(zhí)行掃描；WIN2000/XP/2003則在“運(yùn)行”中執(zhí)行sfc /scannow嘗試修復(fù)。

其中當(dāng)只有IE無法瀏覽網(wǎng)頁，而QQ可以上時，則往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系統(tǒng)下存在）等文件損壞或丟失造成，Winsock是構(gòu)成TCP/IP協(xié)議的重要組成部分，一般要重裝TCP/IP協(xié)議。但xp開始集成TCP/IP協(xié)議，所以不能像98那樣簡單卸載后重裝，可以使用 netsh 命令重置 TCP/IP協(xié)議，使其恢復(fù)到初次安裝操作系統(tǒng)時的狀態(tài)。具體操作如下：

點(diǎn)擊“開始 運(yùn)行”，在運(yùn)行對話框中輸入“CMD”命令，彈出命令提示符窗口，接著輸入“netsh int ip reset c:\resetlog.txt”命令后會回車即可，其中“resetlog.txt”文件是用來記錄命令執(zhí)行結(jié)果的日志文件，該參數(shù)選項必須指定，這里指定的日志文件的完整路徑是“c:\resetlog.txt”。執(zhí)行此命令后的結(jié)果與刪除并重新安裝 TCP/IP 協(xié)議的效果相同。

小提示：netsh命令是一個基于命令行的腳本編寫工具，你可以使用此命令配置和監(jiān)視Windows 系統(tǒng)，此外它還提供了交互式網(wǎng)絡(luò)外殼程序接口，netsh命令的使用格式請參看幫助文件（在令提示符窗口中輸入“netsh/?”即可）。

第二個解決方法是修復(fù)以上文件，WIN9X使用SFC重新提取以上文件，WIN2000/XP/2003使用sfc /scannow命令修復(fù)文件,當(dāng)用sfc /scannow無法修復(fù)時，可試試網(wǎng)上發(fā)布的專門針對這個問題的修復(fù)工具WinSockFix，可以到 系統(tǒng)補(bǔ)丁目錄下載。

八、殺毒軟件的實(shí)時監(jiān)控問題

這倒不是經(jīng)常見，但有時的確跟實(shí)時監(jiān)控有關(guān)，因為現(xiàn)在殺毒軟件的實(shí)時監(jiān)控都添加了對網(wǎng)頁內(nèi)容的監(jiān)控。舉一個實(shí)例：KV2005就會在個別的機(jī)子上會導(dǎo)致IE無法瀏覽網(wǎng)頁（不少朋友遇到過），其具體表現(xiàn)是只要打開網(wǎng)頁監(jiān)控，一開機(jī)上網(wǎng)大約20來分鐘后，IE就會無法瀏覽網(wǎng)頁了，這時如果把KV2005的網(wǎng)頁監(jiān)控關(guān)掉，就一切恢復(fù)正常；經(jīng)過徹底地重裝KV2005也無法解決。雖然并不是安裝KV2005的每臺機(jī)子都會出現(xiàn)這種問題，畢竟每臺機(jī)子的系統(tǒng)有差異，安裝的程序也不一樣。但如果出現(xiàn)IE無法瀏覽網(wǎng)頁時，也要注意檢查一下殺毒軟件。

九、Application Management服務(wù)的問題

出現(xiàn)只能上QQ不能開網(wǎng)頁的情況，重新啟動后就好了。不過就算重新啟動，開7到8個網(wǎng)頁后又不能開網(wǎng)頁了，只能上QQ。有時電信往往會讓你禁用Application Management服務(wù)，就能解決了。具體原因不明。

十、感染了病毒所致

這種情況往往表現(xiàn)在打開IE時，在IE界面的左下框里提示：正在打開網(wǎng)頁，但老半天沒響應(yīng)。在任務(wù)管理器里查看進(jìn)程，（進(jìn)入方法，把鼠標(biāo)放在任務(wù)欄上，按右鍵—任務(wù)管理器—進(jìn)程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，這時你想運(yùn)行其他程序簡直就是受罪。這就要查查是哪個進(jìn)程貪婪地占用了CPU資源．找到后，最好把名稱記錄下來，然后點(diǎn)擊結(jié)束，如果不能結(jié)束，則要啟動到安全模式下把該東東刪除，還要進(jìn)入注冊表里，（方法：開始—運(yùn)行，輸入regedit）在注冊表對話框里，點(diǎn)編輯—查找，輸入那個程序名，找到后，點(diǎn)鼠標(biāo)右鍵刪除，然后再進(jìn)行幾次的搜索，往往能徹底刪除干凈。

有很多的病毒，殺毒軟件無能為力時，唯一的方法就是手動刪除。

十一、還有一種現(xiàn)象也需特別留意：就是能打開網(wǎng)站的首頁，但不能打開二級鏈接，如果是這樣，處理的方法是重新注冊如下的DLL文件：

在開始—運(yùn)行里輸入：

regsvr32 Shdocvw.dll

regsvr32 Shell32.dll （注意這個命令，先不用輸）

regsvr32 Oleaut32.dll

regsvr32 Actxprxy.dll

regsvr32 Mshtml.dll

regsvr32 Urlmon.dll

regsvr32 Msjava.dll

regsvr32 Browseui.dll

注意：每輸入一條，按回車。第二個命令可以先不用輸，輸完這些命令后重新啟動windows，如果發(fā)現(xiàn)無效，再重新輸入一遍，這次輸入第二個命令。還有，如果是98的系統(tǒng)，到微軟的網(wǎng)站上下載這個文件也許更簡單，這個文件的下載地址是：

附一:解決無法重裝IE

有時IE出了毛病，想重裝，卻老提示已經(jīng)安裝了IE，而無法重裝，一般的方法是修改注冊表中IE的版本號，這種方法一般會奏效，但有時改了版本號亦無法安裝，這時可以試一下以下這個小技巧，看看是否可行：

方法一：打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}，右邊窗口IsInstalled的值如果是1，那就把它改為0，然后再重裝IE試試。（強(qiáng)烈建議修改后重啟計算機(jī)，特別是WIN98系統(tǒng)。）

方法二：在“運(yùn)行”中執(zhí)行rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\inf\ie.inf命令就可以從安裝光盤中重裝IE了，不過該方法的不足之處是所安裝的IE版本都是安裝光盤中的版本，而不是最新的版本。

惡意程序清除軟件和工具：

一。清除軟件。

1。免費(fèi)清除軟件。

（1）Ad-Aware SE Personal（英文軟件）：

全球下載次數(shù)最高，使用人數(shù)最多的免費(fèi)惡意程序清除軟件。Ad-aware可以對系統(tǒng)的內(nèi)存、注冊表、硬盤分區(qū)、移動式硬盤、光碟等進(jìn)行綜合掃描，查找并刪除惡意軟件、廣告軟件、間諜軟件和一部分流行的木馬。從而清除惡意軟件帶來的主頁被改，系統(tǒng)變慢，無故死機(jī)等現(xiàn)象，增強(qiáng)上網(wǎng)者的自信心，保護(hù)上網(wǎng)者的隱私權(quán)。

下載地址：

綠色版下載：

地址:1 密碼：30193836

地址:2 用戶名 : yuehong 密碼：30193836

完全版下載：

使用方法：

A。運(yùn)行后點(diǎn)“check for updates now”--connect--選“OK”升級數(shù)據(jù)庫

B。點(diǎn)程序界面左邊的“scan now”--選中“use custom scanning options”--點(diǎn)“customize”--點(diǎn)“scanning”--把下列所有選項改成綠色對號狀態(tài)：

scan within achives

scan active processses

scan registry

deep scan registry

scan my favorites for banned URLs

scan my hosts file

C。點(diǎn)“proceed”，然后選“next”，等掃描結(jié)束后刪除所有掃描到的文件和注冊鍵，然后重起電腦。

（2）SpyBot SearchDestroy：

SpyBot-Search Destroy 是專門用來清理間諜程序的工具。一些間諜程序隨著共享軟件安裝到您的電腦中，監(jiān)視您的電腦運(yùn)行。到目前為止，他已經(jīng)可以檢測一萬多種間諜程序 （Spyware），并對其中的一千多種進(jìn)行免疫處理?？梢哉f是殺毒軟件的一個強(qiáng)有力的補(bǔ)充。而且這個軟件是完全免費(fèi)的，并有中文語言包支持。可以在Server級別的操作系統(tǒng)上使用。

下載地址：

（3）SpywareBlaster（英文軟件）：

SpywareBlaster不是清除工具，它可以防止惡意程序的再侵入。此軟件不占內(nèi)存，不隨開機(jī)加載，只需要一個月升級一次數(shù)據(jù)庫?？梢云帘维F(xiàn)在網(wǎng)絡(luò)上絕大部分流行的惡意網(wǎng)站和程序，包括不經(jīng)過用戶允許就偷偷安裝的3721網(wǎng)絡(luò)實(shí)名、百度插件等。強(qiáng)烈建議在所有的系統(tǒng)里安裝使用。

使用方法：

A。下載并安裝SpywareBlaster：

B。點(diǎn)擊“Download Latest Portection Updates"，這是軟件的網(wǎng)上自動升級。

C。點(diǎn)擊“Enable All Protection”后退出程序（此步驟通常只須操作一次，除非有新的數(shù)據(jù)庫更新）。

2。共享清除軟件。

（1）Spy Sweeper（英文軟件）：

我個人認(rèn)為是最優(yōu)秀的惡意程序清除工具，可以查到很多其它軟件查不到的惡意程序。

下載地址：

使用方法：

A。運(yùn)行Spy Sweeper--options--清空所有選項前的對號--點(diǎn)“Update Definitions”升級數(shù)據(jù)庫

B。左面菜單的“Shields”--把所有選項都改為“X”的狀態(tài)

C。左面菜單的“Sweep Now”--Start--掃描結(jié)束后點(diǎn)“Next”--Next--Finish

D。左面菜單的“quarantined”--select all--delete selected--退出Spy Sweeper--重起電腦

（2）反間諜軟件eTrust PestPatrol Anti Spyware （英文軟件）：另一款優(yōu)秀的惡意程序清除軟件。eTrust PestPatrol Anti-Spyware能夠檢測并移除多種間諜軟件以保護(hù)你的PC免受未被認(rèn)證的訪問、信息竊取并避免系統(tǒng)性能的降低。間諜軟件、廣告和其它非病毒型的威脅正在快速蔓延，表現(xiàn)出了一個主要的安全和隱私風(fēng)險。eTrust PestPatrol Anti-Spyware能夠減少這種風(fēng)險，并為安全的因特網(wǎng)連接提供了一個附加的保護(hù)層。

原版軟件下載：

注冊機(jī)：

二。其它輔助工具。

1、LSP Fix（英文版）。專門用來輔助修復(fù)Hijackthis里的010選項。

下載地址：

2、WinsockFix（英文版）。

用來修復(fù)由病毒和惡意程序修改網(wǎng)絡(luò)設(shè)置而產(chǎn)生的無法聯(lián)網(wǎng)和瀏覽問題，這個程序會把操作系統(tǒng)的網(wǎng)絡(luò)設(shè)置恢復(fù)到默認(rèn)狀態(tài)，適用于所有操作系統(tǒng)。

下載地址：

3、CWShredder（英文版）。CoolWebSearch木馬的專殺工具，此木馬的主要癥狀有IE主頁被改為英文搜索網(wǎng)站無法修改等。

下載地址：

4、首頁綁架克星-HijackThis（英文版）。它能夠?qū)⒔壖苣鸀g覽器的程序揪出來！并且移除之！或許您只是瀏覽某個網(wǎng)站、安裝了某個軟件，就發(fā)現(xiàn)瀏覽器設(shè)定已經(jīng)被綁架了，一般常見的綁架方式莫過于強(qiáng)制竄改您的瀏覽器首頁設(shè)定、搜尋頁設(shè)定，現(xiàn)在有了這個工具，可以將所有可疑的程序全抓出來，再讓您判斷哪個程序是肇禍者！把它給殺了！漢化版本2月27日進(jìn)一步漢化了更多提示信息，并且搜集和加入了詳盡的HijackThis使用幫助文件，漢化包中還附有另兩個很有用的輔助工具：KillBox和CopyLock，使您只需下載這個包就可以完整地了解和使用HijackThis。詳細(xì)使用見附二HijackThis日志細(xì)解【附反劫持一般建議】（轉(zhuǎn)貼）

英文版：

漢化版本：

三。其它輔助網(wǎng)址。

如果你不知道某個文件或者Hijackthis的選項代表什么，最好的方法是在Google里搜索，下面幾個都是英文網(wǎng)站，對英文比較好的網(wǎng)友用來分析Hijackthis Log非常有用。

1。啟動項列表。

輸入文件名或者啟動項名稱，就可以找到相應(yīng)信息。注意在Status下標(biāo)有“X”的都是惡意程序或者病毒，需要進(jìn)行相應(yīng)的清除處理。

2。CLSID、BHO、Toolbar列表。

用來鑒定分析捆綁在IE上的插件和工具欄，在Hijackthis掃描結(jié)果里顯示為02和03選項。注意標(biāo)有“X”的都是惡意程序或者病毒，需要進(jìn)行相應(yīng)的清除處理。

3。LSP列表。

用來鑒定分析Hijackthis掃描結(jié)果里的010選項。注意標(biāo)有“M”的都是惡意程序或者病毒，需要進(jìn)行相應(yīng)的清除處理。

求助PHP簡單的用戶登錄頁面，不需要用戶注冊，不需要連接數(shù)據(jù)庫！但要確保各個頁面的安全保密性！

這里假設(shè)你的主頁是index.php，登錄前頁面是login.php，用戶名user1的密碼為123。當(dāng)然，給你提供的是PHP方法，所以你必須配置好了PHP并且每頁都必須是PHP。

每個需要登錄后查看的頁面的開始寫(一定要最開始，前面不能有任何字符包括回車或者空格)

?php session_start();if(!isset($_SESSION['pass']))header("Location: login.php");?

在登錄頁面最開始寫：

?php session_start();$usr=array('user1'='123','user2'='456');if(isset[$_POST['usr']]isset[$_POST['pwd']]isset[$usr[$_POST['usr']]]$_POST['pwd']==$usr[$_POST['usr']])$_SESSION['pass']=1;if(isset($_SESSION['pass']))header("Location: index.php");?

登錄頁內(nèi)容里必須有form元素具有method屬性值為post。

form元素里必須具有兩個input具有name屬性值分別為usr和pwd，最后一個按鈕建議用input type=submit。例如：

form method="post"

Name: input name="usr"/br/

Password: input name="pwd"/br/

input type="submit" value="login"/

/form

直接寫的沒測試，希望能正確吧。

PHP腳本中的鏈接數(shù)據(jù)庫的用戶名跟密碼怎么加密？

不需要加密，也無法加密?？梢赃@么說，如果數(shù)據(jù)庫和程序是在同一服務(wù)器，及數(shù)據(jù)庫的地址是localhost，那么無需加密，因為加密了數(shù)據(jù)庫并不能自己解密，而且只要網(wǎng)站或者服務(wù)器不被攻下，沒有加密的必要。

數(shù)據(jù)庫和php程序在不同的服務(wù)器，就是說你在操作數(shù)據(jù)庫的時候需要遠(yuǎn)程操作，這樣的話需要傳輸數(shù)據(jù)庫賬號密碼，可以在本地加密后傳輸，然后在數(shù)據(jù)庫服務(wù)器進(jìn)行解密后，用原始的賬號密碼去操作數(shù)據(jù)庫。

--------------------------------------------------------一般來說，如果你擔(dān)心服務(wù)器被攻下，那么你加密數(shù)據(jù)庫賬號密碼是多余的，因為人家下載你的源碼一看就知道鳥。

PHP如何對用戶密碼進(jìn)行加密

PHP如何對用戶密碼進(jìn)行加密

第一種方法：可以使用如下方法對用戶密碼進(jìn)行加密：MySqlSET user@”localhost” PASSWORD=PASSWORD(”Password”);

第二種方法：可以使用MYSQL的 PASSWORD函數(shù)進(jìn)行用戶密碼的加密。例如：Insert into user(password, ……..) values (PASSWORD(”$password”,………));

可以在一個PHP文件里面include另外一個PHP文件兩次嗎

是的，可以在一個PHP文件里面include另外一個PHP文件兩次，被include的那個php文件也會執(zhí)行兩次，所以如果在這個文件里面定義的有一個class, 就會報出the class already defined的錯誤。

mysql的最長數(shù)據(jù)庫名，表名，字段名可以是多長

數(shù)據(jù)庫名字最長為64

數(shù)據(jù)表名字最長為64

字段名字最長為64

mysql_pconnect()和mysql_connect()有什么區(qū)別

兩者的區(qū)別主要有兩個：

1. 在進(jìn)行數(shù)據(jù)庫連接時，函數(shù)會先找同一個host, 用戶和密碼的persistent(持續(xù)的)的'鏈接，如果能找到，則使用這個鏈接而不返回一個新的鏈接。

2. mysql_pconnect()創(chuàng)建的數(shù)據(jù)庫連接在腳本執(zhí)行完畢后仍然保留，可以被后來的代碼繼續(xù)使用，mysql_close()函數(shù)也不會關(guān)閉mysql_pconnect()創(chuàng)建的鏈接。

;

php有什么安全規(guī)則，有哪些？

php安全篇值過濾用戶輸入的人參數(shù)

規(guī)則 1：絕不要信任外部數(shù)據(jù)或輸入

關(guān)于Web應(yīng)用程序安全性，必須認(rèn)識到的第一件事是不應(yīng)該信任外部數(shù)據(jù)。外部數(shù)據(jù)(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數(shù)據(jù)。在采取措施確保安全之前，來自任何其他來源(比如 GET 變量、表單 POST、數(shù)據(jù)庫、配置文件、會話變量或 cookie)的任何數(shù)據(jù)都是不可信任的。

例如，下面的數(shù)據(jù)元素可以被認(rèn)為是安全的，因為它們是在PHP中設(shè)置的。

復(fù)制代碼 代碼如下:

?php

$myUsername = 'tmyer';

$arrayUsers = array('tmyer', 'tom', 'tommy');define(”GREETING”, 'hello there' . $myUsername);?

但是，下面的數(shù)據(jù)元素都是有瑕疵的。

清單 2. 不安全、有瑕疵的代碼

復(fù)制代碼 代碼如下:

?php

$myUsername = $_POST['username']; //tainted!

$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!

define(”GREETING”, 'hello there' . $myUsername); //tainted!

?

為 什么第一個變量 $myUsername 是有瑕疵的？因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字符串，包括用來清除文件或運(yùn)行以前上傳的文件的惡意命令。您可能會問，“難道不能使用只接受字母 A-Z 的客戶端（Javascrīpt）表單檢驗?zāi)_本來避免這種危險嗎？”是的，這總是一個有好處的步驟，但是正如在后面會看到的，任何人都可以將任何表單下載 到自己的機(jī)器上，修改它，然后重新提交他們需要的任何內(nèi)容。

解決方案很簡單：必須對 $_POST['username'] 運(yùn)行清理代碼。如果不這么做，那么在使用 $myUsername 的任何其他時候（比如在數(shù)組或常量中），就可能污染這些對象。

對用戶輸入進(jìn)行清理的一個簡單方法是，使用正則表達(dá)式來處理它。在這個示例中，只希望接受字母。將字符串限制為特定數(shù)量的字符，或者要求所有字母都是小寫的，這可能也是個好主意。

清單 3. 使用戶輸入變得安全

復(fù)制代碼 代碼如下:

?php

$myUsername = cleanInput($_POST['username']); //clean!

$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!

define(”GREETING”, 'hello there' . $myUsername); //clean!

function cleanInput($input){

$clean = strtolower($input);

$clean = preg_replace(”/[^a-z]/”, “”, $clean);$clean = substr($clean,0,12);

return $clean;

}

?

規(guī)則 2：禁用那些使安全性難以實(shí)施的 PHP 設(shè)置已經(jīng)知道了不能信任用戶輸入，還應(yīng)該知道不應(yīng)該信任機(jī)器上配置 PHP 的方式。例如，要確保禁用 register_globals。如果啟用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替換同名的 GET 或 POST 字符串。通過禁用這個設(shè)置，PHP 強(qiáng)迫您在正確的名稱空間中引用正確的變量。要使用來自表單 POST 的變量，應(yīng)該引用 $_POST['variable']。這樣就不會將這個特定變量誤會成 cookie、會話或 GET 變量。

規(guī)則 3：如果不能理解它，就不能保護(hù)它

一些開發(fā)人員使用奇怪的語法，或者將語句組織得很緊湊，形成簡短但是含義模糊的代碼。這種方式可能效率高，但是如果您不理解代碼正在做什么，那么就無法決定如何保護(hù)它。

例如，您喜歡下面兩段代碼中的哪一段？

清單 4. 使代碼容易得到保護(hù)

復(fù)制代碼 代碼如下:

?php

//obfuscated code

$input = (isset($_POST['username']) ? $_POST['username']:”);//unobfuscated code

$input = ”;

if (isset($_POST['username'])){

$input = $_POST['username'];

}else{

$input = ”;

}

?

在第二個比較清晰的代碼段中，很容易看出 $input 是有瑕疵的，需要進(jìn)行清理，然后才能安全地處理。

規(guī)則 4：“縱深防御” 是新的法寶

本教程將用示例來說明如何保護(hù)在線表單，同時在處理表單的 PHP 代碼中采用必要的措施。同樣，即使使用 PHP regex 來確保 GET 變量完全是數(shù)字的，仍然可以采取措施確保 SQL 查詢使用轉(zhuǎn)義的用戶輸入。

縱深防御不只是一種好思想，它可以確保您不會陷入嚴(yán)重的麻煩。

既然已經(jīng)討論了基本規(guī)則，現(xiàn)在就來研究第一種威脅：SQL 注入攻擊。

防止 SQL 注入攻擊

在 SQL 注入攻擊 中，用戶通過操縱表單或 GET 查詢字符串，將信息添加到數(shù)據(jù)庫查詢中。例如，假設(shè)有一個簡單的登錄數(shù)據(jù)庫。這個數(shù)據(jù)庫中的每個記錄都有一個用戶名字段和一個密碼字段。構(gòu)建一個登錄表單，讓用戶能夠登錄。

清單 5. 簡單的登錄表單

復(fù)制代碼 代碼如下:

html

head

titleLogin/title

/head

body

form action=”verify.php” method=”post”

plabel for='user'Username/label

input type='text' name='user' id='user'/

/p

plabel for='pw'Password/label

input type='password' name='pw' id='pw'/

/p

pinput type='submit' value='login'//p

/form

/body

/html

這個表單接受用戶輸入的用戶名和密碼，并將用戶輸入提交給名為 verify.php 的文件。在這個文件中，PHP 處理來自登錄表單的數(shù)據(jù)，如下所示：

清單 6. 不安全的 PHP 表單處理代碼

復(fù)制代碼 代碼如下:

?php

$okay = 0;

$username = $_POST['user'];

$pw = $_POST['pw'];

$sql = “select count(*) as ctr from users where username='”.$username.”' and password='”. $pw.”' limit 1″;$result = mysql_query($sql);

while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){

//they're okay to enter the application!

$okay = 1;

}

}

if ($okay){

$_SESSION['loginokay'] = true;

header(”index.php”);

}else{

header(”login.php”);

}

?

這 段代碼看起來沒問題，對嗎？世界各地成百（甚至成千）的 PHP/MySQL 站點(diǎn)都在使用這樣的代碼。它錯在哪里？好，記住 “不能信任用戶輸入”。這里沒有對來自用戶的任何信息進(jìn)行轉(zhuǎn)義，因此使應(yīng)用程序容易受到攻擊。具體來說，可能會出現(xiàn)任何類型的 SQL 注入攻擊。

例如，如果用戶輸入 foo 作為用戶名，輸入 ' or '1′='1 作為密碼，那么實(shí)際上會將以下字符串傳遞給 PHP，然后將查詢傳遞給 MySQL：

復(fù)制代碼 代碼如下:

?php

$sql = “select count(*) as ctr from users where username='foo' and password=” or '1′='1′ limit 1″;?

這個查詢總是返回計數(shù)值 1，因此 PHP 會允許進(jìn)行訪問。通過在密碼字符串的末尾注入某些惡意 SQL，黑客就能裝扮成合法的用戶。

解 決這個問題的辦法是，將 PHP 的內(nèi)置 mysql_real_escape_string() 函數(shù)用作任何用戶輸入的包裝器。這個函數(shù)對字符串中的字符進(jìn)行轉(zhuǎn)義，使字符串不可能傳遞撇號等特殊字符并讓 MySQL 根據(jù)特殊字符進(jìn)行操作。清單 7 展示了帶轉(zhuǎn)義處理的代碼。

清單 7. 安全的 PHP 表單處理代碼

復(fù)制代碼 代碼如下:

?php

$okay = 0;

$username = $_POST['user'];

$pw = $_POST['pw'];

$sql = “select count(*) as ctr from users where username='”.mysql_real_escape_string($username).”' and password='”. mysql_real_escape_string($pw).”' limit 1″;$result = mysql_query($sql);

while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){

//they're okay to enter the application!

$okay = 1;

}

}

if ($okay){

$_SESSION['loginokay'] = true;

header(”index.php”);

}else{

header(”login.php”);

}

?

使用 mysql_real_escape_string() 作為用戶輸入的包裝器，就可以避免用戶輸入中的任何惡意 SQL 注入。如果用戶嘗試通過 SQL 注入傳遞畸形的密碼，那么會將以下查詢傳遞給數(shù)據(jù)庫：

select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1′ limit 1″數(shù)據(jù)庫中沒有任何東西與這樣的密碼匹配。僅僅采用一個簡單的步驟，就堵住了 Web 應(yīng)用程序中的一個大漏洞。這里得出的經(jīng)驗是，總是應(yīng)該對 SQL 查詢的用戶輸入進(jìn)行轉(zhuǎn)義。

但是，還有幾個安全漏洞需要堵住。下一項是操縱 GET 變量。

防止用戶操縱 GET 變量

在前一節(jié)中，防止了用戶使用畸形的密碼進(jìn)行登錄。如果您很聰明，應(yīng)該應(yīng)用您學(xué)到的方法，確保對 SQL 語句的所有用戶輸入進(jìn)行轉(zhuǎn)義。

但 是，用戶現(xiàn)在已經(jīng)安全地登錄了。用戶擁有有效的密碼，并不意味著他將按照規(guī)則行事 —— 他有很多機(jī)會能夠造成損害。例如，應(yīng)用程序可能允許用戶查看特殊的內(nèi)容。所有鏈接指向 template.php?pid=33 或 template.php?pid=321 這樣的位置。URL 中問號后面的部分稱為查詢字符串。因為查詢字符串直接放在 URL 中，所以也稱為 GET 查詢字符串。

在 PHP 中，如果禁用了 register_globals，那么可以用 $_GET['pid'] 訪問這個字符串。在 template.php 頁面中，可能會執(zhí)行與清單 8 相似的操作。

清單 8. 示例 template.php

復(fù)制代碼 代碼如下:

?php

$pid = $_GET['pid'];

//we create an object of a fictional class Page$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page?

這 里有什么錯嗎？首先，這里隱含地相信來自瀏覽器的 GET 變量 pid 是安全的。這會怎么樣呢？大多數(shù)用戶沒那么聰明，無法構(gòu)造出語義攻擊。但是，如果他們注意到瀏覽器的 URL 位置域中的 pid=33，就可能開始搗亂。如果他們輸入另一個數(shù)字，那么可能沒問題；但是如果輸入別的東西，比如輸入 SQL 命令或某個文件的名稱（比如 /etc/passwd），或者搞別的惡作劇，比如輸入長達(dá) 3,000 個字符的數(shù)值，那么會發(fā)生什么呢？

在這種情況下，要記住基本規(guī)則，不要信任用戶輸入。應(yīng)用程序開發(fā)人員知道 template.php 接受的個人標(biāo)識符（PID）應(yīng)該是數(shù)字，所以可以使用 PHP 的 is_numeric()函數(shù)確保不接受非數(shù)字的 PID，如下所示：

清單 9. 使用 is_numeric() 來限制 GET 變量復(fù)制代碼 代碼如下:

?php

$pid = $_GET['pid'];

if (is_numeric($pid)){

//we create an object of a fictional class Page$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page}else{

//didn't pass the is_numeric() test, do something else!

}

?

這個方法似乎是有效的，但是以下這些輸入都能夠輕松地通過 is_numeric() 的檢查：

100 （有效）

100.1 （不應(yīng)該有小數(shù)位）

+0123.45e6 （科學(xué)計數(shù)法 —— 不好）

0xff33669f （十六進(jìn)制 —— 危險！危險?。┠敲矗邪踩庾R的 PHP 開發(fā)人員應(yīng)該怎么做呢？多年的經(jīng)驗表明，最好的做法是使用正則表達(dá)式來確保整個 GET 變量由數(shù)字組成，如下所示：

清單 10. 使用正則表達(dá)式限制 GET 變量

復(fù)制代碼 代碼如下:

?php

$pid = $_GET['pid'];

if (strlen($pid)){

if (!ereg(”^[0-9]+$”,$pid)){

//do something appropriate, like maybe logging them out or sending them back to home page}

}else{

//empty $pid, so send them back to the home page}

//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page?

需 要做的只是使用 strlen() 檢查變量的長度是否非零；如果是，就使用一個全數(shù)字正則表達(dá)式來確保數(shù)據(jù)元素是有效的。如果 PID 包含字母、斜線、點(diǎn)號或任何與十六進(jìn)制相似的內(nèi)容，那么這個例程捕獲它并將頁面從用戶活動中屏蔽。如果看一下 Page 類幕后的情況，就會看到有安全意識的 PHP 開發(fā)人員已經(jīng)對用戶輸入 $pid 進(jìn)行了轉(zhuǎn)義，從而保護(hù)了 fetchPage() 方法，如下所示：

清單 11. 對 fetchPage() 方法進(jìn)行轉(zhuǎn)義

復(fù)制代碼 代碼如下:

?php

class Page{

function fetchPage($pid){

$sql = “select pid,title,desc,kw,content,status from page where pid='”.mysql_real_escape_string($pid).”'”;}

}

?

您可能會問，“既然已經(jīng)確保 PID 是數(shù)字，那么為什么還要進(jìn)行轉(zhuǎn)義？” 因為不知道在多少不同的上下文和情況中會使用 fetchPage() 方法。必須在調(diào)用這個方法的所有地方進(jìn)行保護(hù)，而方法中的轉(zhuǎn)義體現(xiàn)了縱深防御的意義。

如 果用戶嘗試輸入非常長的數(shù)值，比如長達(dá) 1000 個字符，試圖發(fā)起緩沖區(qū)溢出攻擊，那么會發(fā)生什么呢？下一節(jié)更詳細(xì)地討論這個問題，但是目前可以添加另一個檢查，確保輸入的 PID 具有正確的長度。您知道數(shù)據(jù)庫的 pid 字段的最大長度是 5 位，所以可以添加下面的檢查。

清單 12. 使用正則表達(dá)式和長度檢查來限制 GET 變量復(fù)制代碼 代碼如下:

?php

$pid = $_GET['pid'];

if (strlen($pid)){

if (!ereg(”^[0-9]+$”,$pid) strlen($pid) 5){//do something appropriate, like maybe logging them out or sending them back to home page}

} else {

//empty $pid, so send them back to the home page}

//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page?

現(xiàn)在，任何人都無法在數(shù)據(jù)庫應(yīng)用程序中塞進(jìn)一個 5,000 位的數(shù)值 —— 至少在涉及 GET 字符串的地方不會有這種情況。想像一下黑客在試圖突破您的應(yīng)用程序而遭到挫折時咬牙切齒的樣子吧！而且因為關(guān)閉了錯誤報告，黑客更難進(jìn)行偵察。

緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊 試圖使 PHP 應(yīng)用程序中（或者更精確地說，在 Apache 或底層操作系統(tǒng)中）的內(nèi)存分配緩沖區(qū)發(fā)生溢出。請記住，您可能是使用 PHP 這樣的高級語言來編寫 Web 應(yīng)用程序，但是最終還是要調(diào)用 C（在 Apache 的情況下）。與大多數(shù)低級語言一樣，C 對于內(nèi)存分配有嚴(yán)格的規(guī)則。

緩沖區(qū)溢出攻擊向緩沖區(qū)發(fā)送大量數(shù)據(jù)，使部分?jǐn)?shù)據(jù)溢出到相鄰的內(nèi)存緩沖區(qū)，從而破壞緩沖區(qū)或者重寫邏輯。這樣就能夠造成拒絕服務(wù)、破壞數(shù)據(jù)或者在遠(yuǎn)程服務(wù)器上執(zhí)行惡意代碼。

防止緩沖區(qū)溢出攻擊的惟一方法是檢查所有用戶輸入的長度。例如，如果有一個表單元素要求輸入用戶的名字，那么在這個域上添加值為 40 的 maxlength 屬性，并在后端使用 substr() 進(jìn)行檢查。清單 13 給出表單和 PHP 代碼的簡短示例。