高手整理的PHP+MySQL安全方案
1 不要依赖于服务器端的magic_quotes,虽然他们默认都是打开的(magic_quotes_gpc)
将下面两个关闭
ini_set("magic_quotes_runtime", 0);
ini_set("magic_quotes_sybase", 0);
全部自己手工对所有变量添加magic_quotes,就是添加addslashes
代码如下:
function stripslashes_deep($value){
$value = is_array($value) ?
array_map('stripslashes_deep', $value) :
stripslashes($value);
return $value;
}
function strip_slashes(){
// If already slashed, strip.
//把原有的slash去掉,重新添加自己的magic_quotes
if ( get_magic_quotes_gpc() ) {
$_GET = stripslashes_deep($_GET);
$_POST = stripslashes_deep($_POST );
$_COOKIE = stripslashes_deep($_COOKIE);
$_SERVER = stripslashes_deep($_SERVER);
$_REQUEST = stripslashes_deep($_REQUEST);
}
$_GET = add_magic_quotes($_GET );
$_POST = add_magic_quotes($_POST );
$_COOKIE = add_magic_quotes($_COOKIE);
$_SERVER = add_magic_quotes($_SERVER);
$_REQUEST = add_magic_quotes($_REQUEST);
}
strip_slashes();
显示的时候全部stripslashes还原,虽然这很麻烦,不过如果你有一个模板引擎,可以在变量赋值的时候,统一作这个事情,
例如:
function assign($var, $value = '') {
if (is_array($var)) {
foreach ($var as $k => $v) {
$this->vars[$k] = stripslashes_deep($v);
}
} else {
$this->vars[$var] = stripslashes_deep($value);
}
}
这样可以避免' " 等符号,下面还会有说明
2 对于用户名这样的字段,输入时候,检查不允许有空格,而且必须是字母数字下划线或划线这四种,用正则检查
还有诸如结点名,菜单名,角色名这些不需要用' " 的,一定要在录入之前就检查,或者用替换为空
3 所有ID为数字的变量,必须检查是否为数字,并将变量强制转换成数字
如果ID是前面带0的或者字符型的,可用编码规则对其进行检查,例如全是数字的正则
4 对于php的mysql函数,由于天生一次只能执行一条语句,即;不会自动断。所以无法通过追加语句实现注入,只可能通过将语句插入到变量中来起作用注入,所以对于delete ,select,update都可能有破坏作用。
例如:
delete from tbl_users where user_id = 'admin' 变成 delete from tbl_users where user_id = 'admin or user_id<>'0',即在输入栏为:admin or user_id<>'0
所以对于变量参数:
不该有空格的,空格要去掉
该位数字的,一定要转换成数字
有编码规则的,一定要检查编码规则
有长度限制的一定要加入长度限制
绝对不会有注入语句的,就筛查sql关键字
将一些危险字符进行替换,例如用“代替",空格用%20代替,特殊字符转成html等等
当然用addslashes还是有明显效果的,对于php来说,要想在变量中插入条件,必须通过'来完成,所以这一招可以彻底断了所有企图
5 apache,php,mysql不要以系统用户运行
6 连接mysql不要用root
7 系统的所有错误信息必须关闭或者屏蔽
8 屏蔽非主流浏览器的user-agent
9 记录所有的sql操作和用户ip,如果发现危险语句,可以立刻屏蔽该IP,例如3天
如果是用户登录后,有危险sql注入的语句,直接删除该用户,同时屏蔽IP
10 对于验证码要可以采用使用中文,变换字符串样式,必须点击弹出等方法
11 如果还是不安全,就要像电子银行那样,用U盾和专用控件了
在php程序中,我们也经常需要考虑如何用php实现页面404跳转的写法,下面作者将如何用php进行404转向的写法和大家分享一下!
| 代码如下 | 复制代码 |
| // 直接输出页面错误信息 @header("http/1.1 404 not found"); @header("status: 404 not found"); echo 'echo 404'; exit(); |
|
或者:
| 代码如下 | 复制代码 |
| // 跳转到错误页面,推荐使用这种方法 // 注意include文件的路径不能是http网络路径 @header("http/1.1 404 not found"); @header("status: 404 not found"); include("/404.html"); exit(); |
|
我们也可以直接在 apache 设置 404 错误页面,具体定义方法如下:
在网站的根目录下新建一个 .htaccess 文件,然后在该文件中加入如下内容即可:
| 代码如下 | 复制代码 |
| ErrorDocument 404 http://www.phpernote.com/404.html | |
查看404是否设置成功可以利用 firefox 的 firebug 插件来查看,具体查看方法如下:
在已经安装firebug的情况下,用firefox浏览器打开要检查404状态码的页面,点击右下角小虫的图标,启动"网络"标签,依次打开"网络–所有/html–headers";如果一切正常,你就可以看到包括headers、响应在内的各项页面参数了。
phpinfo,可以看到session存储,可以使用files user memcache redis,使用数据库存储session的好处是较之文件存储,在大用户量下速度更快,性能更优,而且如果做分布式系统,肯定是需要使用数据库存储session的。这里总结下使用redis存储session的两种方式
使用mysql存储session大家应该使用过,session生命周期的原理其实就是session.gcprobability,session.gcdivisor这两个参数和最大生命时间决定的。每次php请求,有一定几率触发session的检测机制。我们使用session_setsavehandler,是可以重定义session的行为的。这里有两种方式实现redis存储session
代码实例1:
| 代码如下 | 复制代码 |
|
<?php |
|
代码实例2:
| 代码如下 | 复制代码 |
| <?php class RedisSessionHandler{ public $ttl = 1800; // 30 minutes default protected $db; protected $prefix; public function __construct($db, $prefix = 'PHPSESSID1:',$time=1800) { $this->db = $db; $this->prefix = $prefix; $this->ttl = $time; } function _open() { // } function _close() { $this->db = null; unset($this->db); } function _read($id) { $id = $this->prefix . $id; $sessData = $this->db->get($id); $this->db->expire($id, $this->ttl); return $sessData; } function _write($id, $data) { $id = $this->prefix . $id; $this->db->set($id, $data); $this->db->expire($id, $this->ttl); } function _destroy($id) { $this->db->del($this->prefix . $id); } function _clean($max) { // } } $redis = new Redis(); $redis->connect('127.0.0.1',6379); $redis->select(1); $SESSION_ID_PREFIX = 'RSID:'; $SESSION_MAX_TIME = 1440; ini_set('session.gc_maxlifetime',$SESSION_MAX_TIME); $sessHandler = new RedisSessionHandler($redis,$SESSION_ID_PREFIX,$SESSION_MAX_TIME); session_set_save_handler( array($sessHandler, '_open'), array($sessHandler, '_close'), array($sessHandler, '_read'), array($sessHandler, '_write'), array($sessHandler, '_destroy'), array($sessHandler, '_clean') ); session_start(); echo session_id(); echo $_SESSION['name']='zhangcunchao'; |
|
> 第一种方式比较简单,但是无法选择库号,并且session_id的前缀信息比较难以控制,但是此方法也可以直接修改php配置文件,使所有程序的session使用redis
> 第二种方式相对麻烦一点,但是使用起来比方方便
> 网上有说并发一致性问题,所有的哈希算法肯定都会有这样的问题,不过可以通过ip前缀哈希组合来一定程度解决
程序主要是使用 HTTP 协议下载文件,HTTP1.1协议必须指定文档结束后关闭链接,否则读取文档时无法使用feof判断结束,可以有两种使用方法,具体请下载查看源码。
| 代码如下 | 复制代码 |
| <?php /** * 下载远程文件类支持断点续传 */ class HttpDownload { private $m_url = ""; private $m_urlpath = ""; private $m_scheme = "http"; private $m_host = ""; private $m_port = "80"; private $m_user = ""; private $m_pass = ""; private $m_path = "/"; private $m_query = ""; private $m_fp = ""; private $m_error = ""; private $m_httphead = "" ; private $m_html = ""; /** * 初始化 */ public function PrivateInit($url){ $urls = ""; $urls = @parse_url($url); $this->m_url = $url; if(is_array($urls)) { $this->m_host = $urls["host"]; if(!empty($urls["scheme"])) $this->m_scheme = $urls["scheme"]; if(!empty($urls["user"])) $this->m_user = $urls["user"]; if(!empty($urls["pass"])) $this->m_pass = $urls["pass"]; if(!empty($urls["port"])) $this->m_port = $urls["port"]; if(!empty($urls["path"])) $this->m_path = $urls["path"]; $this->m_urlpath = $this->m_path; if(!empty($urls["query"])) { $this->m_query = $urls["query"]; $this->m_urlpath .= "?".$this->m_query; } } } /** * 打开指定网址 */ function OpenUrl($url) { #重设各参数 $this->m_url = ""; $this->m_urlpath = ""; $this->m_scheme = "http"; $this->m_host = ""; $this->m_port = "80"; $this->m_user = ""; $this->m_pass = ""; $this->m_path = "/"; $this->m_query = ""; $this->m_error = ""; $this->m_httphead = "" ; $this->m_html = ""; $this->Close(); #初始化系统 $this->PrivateInit($url); $this->PrivateStartSession(); } /** * 获得某操作错误的原因 */ public function printError() { echo "错误信息:".$this->m_error; echo "具体返回头:<br>"; foreach($this->m_httphead as $k=>$v) { echo "$k => $v <br>rn"; } } /** * 判别用Get方法发送的头的应答结果是否正确 */ public function IsGetOK() { if( ereg("^2",$this->GetHead("http-state")) ) { return true; } else { $this->m_error .= $this->GetHead("http-state")." - ".$this->GetHead("http-describe")."<br>"; return false; } } /** * 看看返回的网页是否是text类型 */ public function IsText() { if (ereg("^2",$this->GetHead("http-state")) && eregi("^text",$this->GetHead("content-type"))) { return true; } else { $this->m_error .= "内容为非文本类型<br>"; return false; } } /** * 判断返回的网页是否是特定的类型 */ public function IsContentType($ctype) { if (ereg("^2",$this->GetHead("http-state")) && $this->GetHead("content-type") == strtolower($ctype)) { return true; } else { $this->m_error .= "类型不对 ".$this->GetHead("content-type")."<br>"; return false; } } /** * 用 HTTP 协议下载文件 */ public function SaveToBin($savefilename) { if (!$this->IsGetOK()) return false; if (@feof($this->m_fp)) { $this->m_error = "连接已经关闭!"; return false; } $fp = fopen($savefilename,"w") or die("写入文件 $savefilename 失败!"); while (!feof($this->m_fp)) { @fwrite($fp,fgets($this->m_fp,256)); } @fclose($this->m_fp); return true; } /** * 保存网页内容为 Text 文件 */ public function SaveToText($savefilename) { if ($this->IsText()) { $this->SaveBinFile($savefilename); } else { return ""; } } /** * 用 HTTP 协议获得一个网页的内容 */ public function GetHtml() { if (!$this->IsText()) return ""; if ($this->m_html!="") return $this->m_html; if (!$this->m_fp||@feof($this->m_fp)) return ""; while(!feof($this->m_fp)) { $this->m_html .= fgets($this->m_fp,256); } @fclose($this->m_fp); return $this->m_html; } /** * 开始 HTTP 会话 */ public function PrivateStartSession() { if (!$this->PrivateOpenHost()) { $this->m_error .= "打开远程主机出错!"; return false; } if ($this->GetHead("http-edition")=="HTTP/1.1") { $httpv = "HTTP/1.1"; } else { $httpv = "HTTP/1.0"; } fputs($this->m_fp,"GET ".$this->m_urlpath." $httpvrn"); fputs($this->m_fp,"Host: ".$this->m_host."rn"); fputs($this->m_fp,"Accept: */*rn"); fputs($this->m_fp,"User-Agent: Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2)rn"); #HTTP1.1协议必须指定文档结束后关闭链接,否则读取文档时无法使用feof判断结束 if ($httpv=="HTTP/1.1") { fputs($this->m_fp,"Connection: Closernrn"); } else { fputs($this->m_fp,"rn"); } $httpstas = fgets($this->m_fp,256); $httpstas = split(" ",$httpstas); $this->m_httphead["http-edition"] = trim($httpstas[0]); $this->m_httphead["http-state"] = trim($httpstas[1]); $this->m_httphead["http-describe"] = ""; for ($i=2;$i<count($httpstas);$i++) { $this->m_httphead["http-describe"] .= " ".trim($httpstas[$i]); } while (!feof($this->m_fp)) { $line = str_replace(""","",trim(fgets($this->m_fp,256))); if($line == "") break; if (ereg(":",$line)) { $lines = split(":",$line); $this->m_httphead[strtolower(trim($lines[0]))] = trim($lines[1]); } } } /** * 获得一个Http头的值 */ public function GetHead($headname) { $headname = strtolower($headname); if (isset($this->m_httphead[$headname])) { return $this->m_httphead[$headname]; } else { return ""; } } /** * 打开连接 */ public function PrivateOpenHost() { if ($this->m_host=="") return false; $this->m_fp = @fsockopen($this->m_host, $this->m_port, &$errno, &$errstr,10); if (!$this->m_fp){ $this->m_error = $errstr; return false; } else { return true; } } /** * 关闭连接 */ public function Close(){ @fclose($this->m_fp); } } #两种使用方法,分别如下: #打开网页 $httpdown = new HttpDownload(); $httpdown->OpenUrl("http://www.google.com.hk"); echo $httpdown->GetHtml(); $httpdown->Close(); #下载文件 $file = new HttpDownload(); # 实例化类 $file->OpenUrl("http://www.ti.com.cn/cn/lit/an/rust020/rust020.pdf"); # 远程文件地址 $file->SaveToBin("rust020.pdf"); # 保存路径及文件名 $file->Close(); # 释放资源 ?> |
|
Ajax多图片上传效果界面
我们在页面上放置一个form表单,使用post提交到后台php处理程序upload.php,注意enctype属性设置要支持文件上传。#preview用来显示上传完毕后的图片。关于css样式设置本文不加说明,请参照下载包的源码。
| 代码如下 | 复制代码 |
| <form id="imageform" method="post" enctype="multipart/form-data" action="upload.php"> <div id="up_status" style="display:none"><img src="loader.gif" alt="uploading"/></div> <div id="up_btn" class="btn"> <span>添加图片</span> <input id="photoimg" type="file" name="photoimg"> </div> </form> <p>最大100KB,支持jpg,gif,png格式。</p> <div id="preview"></div> |
|
本实例基于jQuery,因此必须在页面中载入jquery库以及jquery.wallform.js。
<script type="text/javascript" src="jquery.min.js"></script>
<script type="text/javascript" src="jquery.wallform.js"></script>
当点击按钮“添加图片”后,弹出选择文件对话框,选择要上传的图片后,触发change事件。然后表单#imageform调用jquery.wallform.js的ajaxForm()方法,将表单数据提交给后台PHP处理,并根据返回结果处理页面元素的展示。如果上传成功,图片会一张张排列显示在页面上。关于ajaxForm()的使用可以参照本站文章:Ajax表单提交插件jqery form。
| 代码如下 | 复制代码 |
| $(function(){ $('#photoimg').die('click').live('change', function(){ var status = $("#up_status"); var btn = $("#up_btn"); $("#imageform").ajaxForm({ target: '#preview', beforeSubmit:function(){ status.show(); btn.hide(); }, success:function(){ status.hide(); btn.show(); }, error:function(){ status.hide(); btn.show(); } }).submit(); }); }); |
|
upload.php处理图片上传,并将上传好的图片保存在uploads/目录,注意该目录要有写权限。首先需要检测是否为POST方式提交,然后判断图片格式、图片大小是否符合要求,然后使用move_uploaded_file()上传图片,并将图片重命名,格式为:time().rand(100,999)。
| 代码如下 | 复制代码 |
| $path = "uploads/"; $extArr = array("jpg", "png", "gif"); if(isset($_POST) and $_SERVER['REQUEST_METHOD'] == "POST"){ $name = $_FILES['photoimg']['name']; $size = $_FILES['photoimg']['size']; if(empty($name)){ echo '请选择要上传的图片'; exit; } $ext = extend($name); if(!in_array($ext,$extArr)){ echo '图片格式错误!'; exit; } if($size>(100*1024)){ echo '图片大小不能超过100KB'; exit; } $image_name = time().rand(100,999).".".$ext; $tmp = $_FILES['photoimg']['tmp_name']; if(move_uploaded_file($tmp, $path.$image_name)){ echo '<img src="'.$path.$image_name.'" class="preview">'; }else{ echo '上传出错了!'; } exit; } //获取文件类型后缀 function extend($file_name){ $extend = pathinfo($file_name); $extend = strtolower($extend["extension"]); return $extend; } |
|
相关文章
- 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本、CSRF跨站请求伪造。防御这些劫持最好的方法是从后端入手,前端能做的太少。而且由于源码的暴露,攻击者很容易绕过防御手段。但这不代表我们去了解这块的相关知识是没意义的,本文的许多方法,用在其他方面也是大有作用。...2021-05-24
- 普通关闭 我的mysql是自己下载的tar包,自己设定安装目录来安装的。停止mysql服务,说来简单,但不知道的话,还真是挠头。在这和mysql入门的同学们共享:)正确方法是,进入mysql的bin目录下,然后执行./mysqladmin -uroot -p shut...2015-11-24
- 这篇文章主要介绍了C#实现线程安全的简易日志记录方法,比较实用的功能,需要的朋友可以参考下...2020-06-25
- 系统:centos 5.9 环境:apache 2.2.25 tomcat 7.0.42 jdk 1.7.0 1.安装apache 我这里是直接yum安装的,如果你们要编译安装也不是不行. 代码如下 ...2016-01-28
- 当你第一次在机器上安装MySQL时,mysql数据库中的授权表是这样初始化的:你可以从本地主机(localhost)上以root连接而不指定口令。root用户拥有所有权限(包括管理权限) 并可做任何事情。...2013-09-19
- open_basedir的作用就是指定目录位置了,意思是将PHP 所能打开的文件限制在指定的目录树,包括文件本身了,并且不受是不是安全模式的影响。 如下是php.ini中的原文...2016-11-25
- 本文章以自己的一些经验来告诉你黑客朋友们会怎么利用你数据库的sql漏洞来把你的数据库下载哦,有需要的同这参考一下本文章。 在数据库中建立一张表: 代码...2016-11-25
- 程序如下: $file_name = "info_check.exe"; $file_dir = "/public/www/download/"; if (!file_exists($file_dir . $file_name)) { //检查文件是否存在 ...2016-11-25
- 收集和分发数据是网络管理的职责之一,而且必须确保这些数据的准确性和安全性。不管它们是什么操作系统,数据库服务器需要特殊的管理以保证操作上的安全性。 良好的安...2016-11-25
- 偶这里是针对的WIN平台,现在的站长大部分都用WIN2003,相信没几个站长用低版本儿的操作系统的!...2016-01-27
- $_SERVER[’PHP_SELF’]在开发的时候常会用到,一般用来引用当前网页地址,并且它是系统自动生成的全局变量,也会有什么问题么?让我们先看看下面的代码吧: <form ac...2016-11-25
- <?php /** * @name date safe class 0.1 * @author kevin xu * @copyright kenvin E-mail:gincn@cn.cashboxparty.com MSN:gincn@live.cn */ interface dateSa...2016-11-25
- 在编译器未优化的情况下顺序如下:1.new operator分配适当的内存;2.在分配的内存上构造Singleton对象;3.内存地址赋值给_instance...2020-04-25
- 在本篇文章里小编给大家整理的是一篇关于java中stringbuffer线程安全分析实例详解内容,有兴趣的朋友们可以学习下。...2021-01-18
Go语言中使用 buffered channel 实现线程安全的 pool
这篇文章主要介绍了Go语言中使用 buffered channel 实现线程安全的 pool,因为Go语言自带的sync.Pool并不是很好用,所以自己实现了一线程安全的 pool,需要的朋友可以参考下...2020-05-01- 10月25日消息,Linux厂商又受到两种新安全病毒的攻击,一系列图形解码器及Gaim即时通信客户机都受到影响。 另据最大的Linux开发商红帽公司称,黑客已经开...2016-09-20
- 我在在php管方下载php版时会看到有一个,None-Thread Safe与Thread Safe版了,那么这两个版本到底有什么区别,但仔细一下看面有介绍是建义我们使用线程安全,而非线程序安全...2016-11-25
- 本文章详细的介绍了safe_mode模式配置方法,主要包括目录,执行权限,apache运行权限,mysql权限等相关操作设置。 (1) 打开php的安全模式 php的安全模式是个非常重要...2016-11-25
- 只要将下面的代码保存为1.bat运行一下即可自动设置win2003的安全,完成后自动重启,需要的朋友可以参考下。...2016-01-27
- 在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵...2016-11-25