返回
php开发教程:在php中防止sql注入的方法

php开发教程:在php中防止sql注入的方法

ID:34725326

大小:56.93 KB

页数:13页

时间:2019-03-10

php开发教程:在php中防止sql注入的方法_第1页
php开发教程:在php中防止sql注入的方法_第2页
php开发教程:在php中防止sql注入的方法_第3页
php开发教程:在php中防止sql注入的方法_第4页
php开发教程:在php中防止sql注入的方法_第5页
资源描述:

《php开发教程:在php中防止sql注入的方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、www.cdtedu.com达内教育—中国IT培训领导品牌Php开发教程:在php中防止SQL注入的方法【一、在服务器端配置】安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在/usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQLInjection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不

2、在该目录。(1)打开php的安全模式php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:safe_mode=on(2)用户组安全当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同www.cdtedu.com达内教育—中国IT培训领导品牌组的用户也能够对文件进行访问。建议设置为:safe_mode_gid=off如果不进行设置,可能我们无法对我

3、们服务器网站目录下的文件进行操作了,比如我们需要对文件进行操作的时候。(3)安全模式下执行程序主目录如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:safe_mode_exec_dir=D:/usr/bin一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录,然后把需要执行的程序拷贝过去,比如:safe_mode_exec_dir=D:/tmp/cmd但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:safe_mode_exec_dir=D:/usr/www(4)安全模式下包含文件www.cdtedu.com达内教育—中国I

4、T培训领导品牌如果要在安全模式下包含某些公共文件,那么就修改一下选项:safe_mode_include_dir=D:/usr/www/include/其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。(5)控制php脚本能访问的目录使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录:open_basedir=D:/usr/www(6)关闭危险函数如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比

5、如,我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的phpinfo()等函数,那么我们就可以禁止它们:disable_functions=system,passthru,exec,shell_exec,popen,phpinfowww.cdtedu.com达内教育—中国IT培训领导品牌如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作disable_functions=chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,

6、rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,就能够抵制大部分的phpshell了。(7)关闭PHP版本信息在http头中的泄漏我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:expose_php=Off比如黑客在telnetwww.12345.com80的时候,那么将无法看到PHP的信息。(8)关闭注册全局变量在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问

7、,这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:register_globals=Offwww.cdtedu.com达内教育—中国IT培训领导品牌当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,那么就要用$_GET['var']来进行获取,这个php程序员要注意。(9)打开magic_quotes_gpc来防止SQL注入SQL

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。