能用就行?PHP不能再果奔了!8条铁律送给你

时间:2022-11-03 07:13:24 | 浏览:3694

引言哎,想要做到安全,真的很难。大多数时候还真不知道怎么下手,而至于安全性所带来的效果,也总是模糊不清。这也难怪那么多开发者不重视安全性。下面提供一个PHP安全最佳实践的列表,帮助大家厘清一些安全需要注意的点。1 - 筛选并验证所有数据无论

引言

哎,想要做到安全,真的很难。

大多数时候还真不知道怎么下手,而至于安全性所带来的效果,也总是模糊不清。这也难怪那么多开发者不重视安全性。

下面提供一个PHP安全最佳实践的列表,帮助大家厘清一些安全需要注意的点。



1 - 筛选并验证所有数据

无论数据来自何处,无论是配置文件、服务器环境、GET和POST,还是其他任何地方,都不要信任它。

过滤 + 验证!

可以使用高效可用的库来实现,比如zend-inputfilter。


2 - 使用参数化数据库查询

为了避免SQL注入攻击,永远不要用外部数据连接或插入SQL字符串。而是使用参数化查询和准备好的语句。

这些可以与特定的第三方库一起使用,也可以使用PDO。


3 - 设置open_basedir

open_basedir指令限制PHP可以从open_basedir目录向下访问文件系统的文件。不能访问该目录之外的任何文件或目录。

这样,如果恶意用户试图访问敏感文件,比如/etc/passwd,访问将被拒绝。


4 - 检查您的SSL / TLS配置

通过定期扫描,确保服务器的SSL/TLS配置是最新的和正确配置的,并且没有使用弱密码过时的TLS版本、没有弱密钥的有效安全证书等。


5 - 使用TLS或公钥连接到远程服务

在访问任何数据库服务器远程服务(如Redis、Beanstalkd或Memcached)时,坚持使用TLS或公钥。

这样做可以确保只允许经过身份验证的访问,并且对请求和响应进行加密,并且不会以明文传输数据。


6 - 不要在header中发送敏感信息

默认情况下,PHP将在HTTP header 中设置版本号。一些框架也是这么做的。


7 - 能写的尽量都写上日志

无论您是否记录失败的登录尝试、密码重置或调试信息,都要确保您记录的是易于使用的成熟包,比如Monolog。


8 - 要有内容安全策略

无论你是只有一个页面、静态网站、大型静态网站,还是复杂的基于web的应用程序,都要实现内容安全策略。它有助于缓解一系列常见的攻击,比如XSS。


写在最后

当应用上规模之后,这些都用的到。别说一直都在开发小应用,小数据量的系统,想要进阶,系统安全很考验开发人员的功底哦。

Happy coding :)

相关资讯

PHP正在干掉Python

作者 | Beau Beauchamp 译者 | 弯月出品 | CSDN(ID:CSDNnews)在流行文化的冲击下,也许很多人都不赞同本文表达的观点,但我毅然决定再一次逆流而上。我认为,虽然 PHP 百般受轻视,但这门编程语言的流行度比以

“最好的语言”PHP过时了吗?

晓查 乾明 发自 凹非寺 量子位 报道 | 公众号 QbitAI当下,如果你打开搜索引擎,搜索关键词“PHP过时”,能找到714万个相关结果。这些结果之中,不乏有2016年、2018年的结果,说PHP已经过时了。现已2019年,这个曾经自称

2019年最流行的七个PHPWeb框架

PHP 是最流行的 Web 服务端编程语言,并且在 2019 年仍然很火。因此,我们将在这里盘点 2019 年七个最好的 PHP 框架。这里讨论的 PHP 框架主要用于工程实践,通常用于构建复杂、安全和可扩展的 Web 应用程序。在讨论最好

PHP简介

PHP 是服务器端脚本语言。您应当具备的基础知识在继续学习之前,您需要对以下知识有基本的了解:HTMLCSS如果您希望首先学习这些项目,请在我们的 首页 访问这些教程。PHP 是什么?PHP(全称:PHP:Hypertext Preproc

PHP8.1.0正式发布

出品|开源中国文|御坂弟弟PHP 8.1.0 现已发布,该版本带来了许多改进和新功能。枚举使用枚举而不是一组常量并立即进行验证。只读属性只读属性不能在初始化后更改,比如,在为它们分配值后。它们可以用于对值对象和数据传输对象建模。First-

PHP快跌出TIOBE编程排行榜Top10

TIOBE 公布了 2021 年 11 月的编程语言排行榜。自 20 多年前 TIOBE 指数开始发布以来,PHP 一直常驻在榜单前十;然而最近,该语言已经开始在前十的边缘苦苦挣扎。TIOBE CEO Paul Jansen 称,“PHP

PHP是最糟糕的编程语言?

我已有将近二十年的编程经验,并使用过各种编程语言进行开发。在我以前做过的很多工作和现在正在做的这份工作中,我非常高兴能够将 PHP 作为核心编程语言。从第一次使用 PHP 工作开始,我就听到了关于 PHP 的各种抱怨,但与此同时我也看到了

PHP没你想的那么差

PHP现在名声很糟糕,因为它曾经是“可怕”的。本文试着回答一些常见的关于 PHP 的断言,目的是向非技术人员解释,PHP 并不像许多人所说的那么糟糕。它是不是鼓励糟糕的实践?不再是了。过去,许多开发者被书本教授非常糟糕的实践,因此 PHP

PHP可能在未来十年内消失?

犹记得,据 2001 年 7 月的 PHP 官方文档描述,“PHP 是有史以来最好的语言,没有之一。它快速,非常强大,而且免费。"不过,随着时间的迭代,不少开发者发现所谓世界上最好的语言 PHP,虽然能极大地提升性能,但是其功能不够完善最终

PHP正在“杀死”Python

最近,我突然发现自己好像又在逆潮流而动。可能我的想法与很多朋友不同,我认为 PHP 这个编程语言界的“混蛋”比以往任何时候都更受欢迎。或许你会质疑——PHP 不是已经完蛋了吗?市面上已经出现了很多“更好”的编程语言,不是吗?答案显然是否定的

友情链接

SEO域名抢注宝宝起名网妈妈知道币圈煤炭期货网张颂文影迷网南宁旅游网美的空调资讯网飞猪旅行资讯网今日淮南必胜客会员福利网国学易经网金城武影迷网西双版纳旅游攻略乳胶漆品牌网湖南旅游网黎明歌迷网刘姓男孩名字大全田螺养殖
PHP编程知识网-php开源建站系统、PHP程序员网站开发、php编程工具、php菜鸟教程下载、PHP网络编程教学、php网络编程、php工程师、php菜鸟教程数据库、PHP网站开发、PHP精品源码网站、php程序员入门、php零基础入门教程、php源码搭建网站流程、php从入门到精通第2版、php开发简单网站、php制作网站实例、php网站开发实例教程源代码、php中文网破解版、php中文网。
php编程知识 yoceo.cn ©2022-2028版权所有