几点PHP建站安全性建议
一、必须要对外部数据和用户输入数据进行检测
对于web程序来说,第一件事就是不能相信外部数据。(外部数据–不是程序员在程序中直接给出的数据)
例如对于来自POST表单的数据是不能直接使用的,必须经过处理才能使用。(当然要怎样处理要有您自己来决定啦)
例如
<? $name = clean($_POST['name']); function clean($str) { $str = preg_replace('/[^a-Z]/', $str); return $str; } ?>
二、要禁用php中安全性措施难以展开的设置
在php程序中为了避免变量的混用,要把register_globals关掉
即register_globals=Off,register_globals介绍
三、 代码要清晰
代码一
<? $input = (isset($_POST['username']) ? $_POST['username']:”); ?>
代码二
<? $input = ''; if(isset($_POST['username']){ $input = $_POST['username']; }else{ $input = ''; } ?>
你肯定喜欢第二段代码吧。当然看到第二段代码你就很清楚的看到第二段代码的问题了。
四、防止sql注入
对于表单获得的用户的输入,必须要经过处理才能用于sql语句。
如以下是sql语句,使用mysql_real_escape_string($pw)函数
$sql = ”select count(*) as ctr from users where username=’”.mysql_real—replace_string($username).”‘ and password=’”. mysql_real_escape_string($pw).”
这样就可以有效防止sql注入了。
广告
我也想听大家的建议!谢