#1：管理安裝腳本

站在用戶的角度思考問(wèn)題，與客戶深入溝通，找到青岡網(wǎng)站設(shè)計(jì)與青岡網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：成都做網(wǎng)站、成都網(wǎng)站建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊(cè)、網(wǎng)站空間、企業(yè)郵箱。業(yè)務(wù)覆蓋青岡地區(qū)。

　　如果開(kāi)發(fā)人員已經(jīng)安裝了一套第三方應(yīng)用程序的PHP腳本，該腳本用于安裝整個(gè)應(yīng)用程序的工作組件，并提供一個(gè)接入點(diǎn)。大多數(shù)第三方軟件包都建議在安裝 后，刪除該目錄包含的安裝腳本。但開(kāi)發(fā)人員希望保留安裝腳本，他們可以創(chuàng)建一個(gè).htaccess文件來(lái)控制管理訪問(wèn)目錄。

　　AuthType Basic

　　AuthName “Administrators Only”

　　AuthUserFile /usr/local/apache/passwd/passwords

　　Require valid-user

　　任何未經(jīng)授權(quán)的用戶，如果試圖訪問(wèn)一個(gè)受保護(hù)的目錄，將會(huì)看到一個(gè)提示，要求輸入用戶名和密碼。密碼必須匹配指定的“passwords”文件中的密碼。

#2：頭文件

　　在很多情況下，開(kāi)發(fā)人員可以將分布在應(yīng)用程序的幾個(gè)腳本包含進(jìn)一個(gè)腳本里。這些腳本將包含一個(gè)“include”指令，集成單個(gè)文件到原始頁(yè)面的代碼 里。當(dāng)“include”文件包含敏感信息，包括用戶名、密碼和數(shù)據(jù)庫(kù)訪問(wèn)密鑰時(shí)，該文件的擴(kuò)展名應(yīng)該命名成“.php "，而不是典型的“.inc”擴(kuò)展。“.php”擴(kuò)展確保php引擎將處理該文件，并防止任何未經(jīng)授權(quán)的訪問(wèn)。

#3: MD5 vs. SHA

　　在某些情況下，用戶最終會(huì)創(chuàng)建自己的用戶名和密碼，而站點(diǎn)管理員通常會(huì)對(duì)表單提交的密碼加密，并保存在數(shù)據(jù)庫(kù)中。在過(guò)去的幾年中，開(kāi)發(fā)人員會(huì)使用 MD5(消息摘要算法)函數(shù)，加密成一個(gè)128位的字符串密碼。今天，很多開(kāi)發(fā)人員使用SHA-1(安全散列算法)函數(shù)來(lái)創(chuàng)建一個(gè)160位的字符串。

#4: 自動(dòng)全局變量

　　php.ini文件中包含的設(shè)置稱為“register_globals”。P服務(wù)器會(huì)根據(jù)register_globals的設(shè)置，將會(huì)為服務(wù)器變 量和查詢字符串自動(dòng)創(chuàng)建全局變量。在安裝第三方的軟件包時(shí)，比如內(nèi)容管理軟件，像Joomla和Drupal，安裝腳本將引導(dǎo)用戶把 register_globals設(shè)置為“關(guān)閉”。將設(shè)置改變?yōu)椤瓣P(guān)閉”可以確保未經(jīng)授權(quán)的用戶無(wú)法通過(guò)猜測(cè)變量名稱及驗(yàn)證密碼來(lái)訪問(wèn)數(shù)據(jù)。

#5: 初始化變量和值

　　許多開(kāi)發(fā)人員都落入了實(shí)例化變量不賦值的陷阱，原因可能由于時(shí)間的限制而分心，或缺乏努力。身份驗(yàn)證過(guò)程中的變量，應(yīng)該在用戶登錄程序開(kāi)始前就有值。這個(gè)簡(jiǎn)單的步驟可以防止用戶繞過(guò)驗(yàn)證程序或訪問(wèn)站點(diǎn)中某些他們沒(méi)有權(quán)限的區(qū)域。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文標(biāo)題：php安全措施整理搜集+持續(xù)更新-創(chuàng)新互聯(lián)
轉(zhuǎn)載來(lái)于：http://weahome.cn/article/gpgsc.html