建议安装Suhosin补丁,必装安全补丁
Php.Ini安全设置
Register_global = Off
Magic_quotes_gpc = Off
Display_error = Off
Log_error = On
# Allow_url_fopen = Off
Expose_php = Off
Open_basedir =
Safe_mode = On
Disable_function = Exec,System,Passthru,Shell_exec,Escapeshellarg,Escapeshellcmd,Proc_close,Proc_open,Dl,Popen,Show_source,Get_cfg_var
Safe_mode_include_dir =
DB SQL预处理
Mysql_real_escape_string (很多PHPer仍在依靠Addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。Addslashes的问题在于黑客可以用 0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此Addslashes只是将0xbf5c27,成为一个有效的多字节字符,其 中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用Mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能 有问题。
Prepare + Execute(PDO)
ZendFramework可以用DB类的Quote或者QuoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像Mysql_real_escape_string只能用于Mysql
用户输入的处理
无需保留HTML标签的可以用以下方法
Strip_tags, 删除String中所有Html标签
Htmlspecialchars,只对”<”,”>”,”;”,”’”字符进行转义
Htmlentities,对所有Html进行转义
必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier Is A Standards-Compliant HTML Filter Library Written In PHP.
PHP HTML Sanitizer: Remove Unsafe Tags And Attributes From HTML Code
HtmLawed: PHP Code To Purify & Filter HTML
上传文件
用Is_uploaded_file和Move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传Php脚本。
ZF框架下可以考虑使用File_upload模块
Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的Form元素如下:
<Input Type="Hidden" Name="H[Name]" Value="<?Php Echo $Oname?>"/> <Input Type="Hidden" Name="H[Age]" Value="<?Php Echo $Oage?>"/> <?Php $Sign = Md5('Name'.$Oname.'Age'.$Oage.$Secret); ?> <Input Type="Hidden" Name="Hash" Value="<?Php Echo $Sign?>"" /> POST回来之后对参数进行验证
$Str = "";
Foreach(
<# WebPartBody #>POST['H'] As $Key=>$Value) {
$Str .= $Key.$Value;
}
If(
<# WebPartBody #>POST['Hash'] != Md5($Str.$Secret)) {
Echo "Hidden Form Data Modified"; Exit;
}
PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web Application Security Auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL Injection/XSS攻击检查工具)
安裝/使用方法:
Apt-Get Install Libtidy-0.99-0 Python-Ctypes Python-Utidylib
Python Wapiti.Py Http://Your Website URL/ -M GET_XSS
Pixy: XSS And SQLI Scanner For PHP( Pixy - PHP 源码缺陷分析工具)
安裝: Apt-Get Install Default-Jdk
Php.Ini安全设置
Register_global = Off
Magic_quotes_gpc = Off
Display_error = Off
Log_error = On
# Allow_url_fopen = Off
Expose_php = Off
Open_basedir =
Safe_mode = On
Disable_function = Exec,System,Passthru,Shell_exec,Escapeshellarg,Escapeshellcmd,Proc_close,Proc_open,Dl,Popen,Show_source,Get_cfg_var
Safe_mode_include_dir =
DB SQL预处理
Mysql_real_escape_string (很多PHPer仍在依靠Addslashes防止SQL注入,但是这种方式对中文编码仍然是有问题的。Addslashes的问题在于黑客可以用 0xbf27来代替单引号,GBK编码中0xbf27不是一个合法字符,因此Addslashes只是将0xbf5c27,成为一个有效的多字节字符,其 中的0xbf5c仍会被看作是单引号,具体见这篇文章)。用Mysql_real_escape_string函数也需要指定正确的字符集,否则依然可能 有问题。
Prepare + Execute(PDO)
ZendFramework可以用DB类的Quote或者QuoteInto, 这两个方法是根据各种数据库实施不用方法的,不会像Mysql_real_escape_string只能用于Mysql
用户输入的处理
无需保留HTML标签的可以用以下方法
Strip_tags, 删除String中所有Html标签
Htmlspecialchars,只对”<”,”>”,”;”,”’”字符进行转义
Htmlentities,对所有Html进行转义
必须保留HTML标签情况下可以考虑以下工具:
HTML Purifier: HTML Purifier Is A Standards-Compliant HTML Filter Library Written In PHP.
PHP HTML Sanitizer: Remove Unsafe Tags And Attributes From HTML Code
HtmLawed: PHP Code To Purify & Filter HTML
上传文件
用Is_uploaded_file和Move_uploaded_file函数,使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传Php脚本。
ZF框架下可以考虑使用File_upload模块
Session,Cookie和Form的安全处理
不要依赖Cookie进行核心验证,重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的Form元素如下:
<Input Type="Hidden" Name="H[Name]" Value="<?Php Echo $Oname?>"/> <Input Type="Hidden" Name="H[Age]" Value="<?Php Echo $Oage?>"/> <?Php $Sign = Md5('Name'.$Oname.'Age'.$Oage.$Secret); ?> <Input Type="Hidden" Name="Hash" Value="<?Php Echo $Sign?>"" /> POST回来之后对参数进行验证
$Str = "";
Foreach(
<# WebPartBody #>POST['H'] As $Key=>$Value) {
$Str .= $Key.$Value;
}
If(
<# WebPartBody #>POST['Hash'] != Md5($Str.$Secret)) {
Echo "Hidden Form Data Modified"; Exit;
}
PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web Application Security Auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL Injection/XSS攻击检查工具)
安裝/使用方法:
Apt-Get Install Libtidy-0.99-0 Python-Ctypes Python-Utidylib
Python Wapiti.Py Http://Your Website URL/ -M GET_XSS
Pixy: XSS And SQLI Scanner For PHP( Pixy - PHP 源码缺陷分析工具)
安裝: Apt-Get Install Default-Jdk
共有条评论 网友评论