在现在各种黑客横行的时候，如何实现自己php代码安全，保证程序和服务器的安全是一个很重要的问题，我随便看了下关于php安全的资料，并不是很多，至少比asp少多了，呵呵，于是就想写点东西，来防止这些可能出现的情况。这里没有太深的技术含量，我只是比较简单的谈了谈。(以下操作如无具体说明，都是基于PHP+MySQL+Apache的情况)

先来说说安全问题，我们首先看一下两篇文章：
http://www.xfocus.net/articles/200107/227.html   
http://www.xfocus.net/articles/200107/228.html

上面文章是安全焦点上的关于PHP安全的文章，基本上比较全面的介绍了关于PHP的一些安全问题。

在PHP编码的时候，如果考虑到一些比较基本的安全问题，首先一点：
1. 初始化你的变量

为什么这么说呢？我们看下面的代码：
if ($admin)
{
    echo ''登陆成功！'';
    include(''admin.php'');
}
else
{
    echo ''你不是管理员，无法进行管理！'';
}

好，我们看上面的代码好像是能正常运行，没有问题，那么加入我提交一个非法的参数过去呢，那么效果会如何呢？比如我们的这个页是 http://www.traget.com/login.php，那么我们提交：http://www.target.com/login.php?admin=1，呵呵，你想一些，我们是不是直接就是管理员了，直接进行管理。
当然，可能我们不会犯这么简单错的错误，那么一些很隐秘的错误也可能导致这个问题，比如最近暴出来的phpwind 1.3.6论坛有个漏洞，导致能够直接拿到管理员权限，就是因为有个$skin变量没有初始化，导致了后面一系列问题。

那么我们如何避免上面的问题呢？首先，从php.ini入手，把php.ini里面的register_global = off，就是不是所有的注册变量为全局，那么就能避免了。但是，我们不是服务器管理员，只能从代码上改进了，那么我们如何改进上面的代码呢？我们改写如下：
$admin = 0;      // 初始化变量
if ($_POST[''admin_user''] && $_POST[''admin_pass''])
{
    // 判断提交的管理员用户名和密码是不是对的相应的处理代码
    // ...
    $admin = 1;
}
else
{
    $admin = 0;
}

if ($admin)
{
    echo ''登陆成功！'';
    include(''admin.php'');
}
else
{
    echo ''你不是管理员，无法进行管理！'';
}

那么这时候你再提交 http://www.target.com/login.php?admin=1 就不好使了，因为我们在一开始就把变量初始化为 $admin = 0 了，那么你就无法通过这个漏洞获取管理员权限。


2. 防止SQL Injection (sql注射)

SQL 注射应该是目前程序危害最大的了，包括最早从asp到php，基本上都是国内这两年流行的技术，基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句，导致重要数据被窃取、数据丢失或者损坏，或者被入侵到后台管理。
基本原理我就不说了，我们看看下面两篇文章就很明白了：
http://www.4ngel.net/article/36.htm
http://www.4ngel.net/article/30.htm

那么我们既然了解了基本的注射入侵的方式，那么我们如何去防范呢？这个就应该我们从代码去入手了。

我们知道Web上提交数据有两种方式，一种是get、一种是post，那么很多常见的sql注射就是从get方式入手的，而且注射的语句里面一定是包含一些sql语句的，因为没有sql语句，那么如何进行，sql语句有四大句：
select 、update、delete、insert，那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢

最近在看.net的新功能Linq,第一感觉,功能非常实用.
数组,字符串都可以用我们熟悉的 SQL 方式来查询,太方便啦!

就想看看PHP在这方面有没有这样的类库.

不查不知道,一查吓一跳,还真的有类似的类库,命名为PHPLinq.

PHPLinq的首页:
http://www.codeplex.com/PHPLinq

Examples

Examples can be found in the test package in the latest release.

A basic example

Let''s say we have an array of strings and want to select only the strings whose length is < 5. The PHPLinq way of achieving this would be the following:

// Create data source
$names = array("John", "Peter", "Joe", "Patrick", "Donald", "Eric"); 
 
$result = from(''$name'')->in($names)
            ->where(''$name => strlen($name) < 5'')
            ->select(''$name''); 

Feels familiar to SQL? Yes indeed! No more writing a loop over this array, checking the string''s length, and adding it to a temporary variable.

You may have noticed something strange... What''s that $name => strlen($name) < 5 doing? This piece of code is compiled to an anonymous function or Lambda expression under the covers. This function accepts a parameter $name, and returns a boolean value based on the expression strlen($name) < 5.

An advanced example

There are lots of other examples available in the PHPLinq download, but here''s an advanced one... Let''s say we have an array of Employee objects. This array should be sorted by Employee name, then Employee age. We want only Employees whose name has a length of 4 characters. Next thing: we do not want an Employee instance in our result. Instead, the returning array should contain objects containing an e-mail address and a domain name.

First of all, let''s define our data source:

class Employee {
    public $Name;
    public $Email;
    public $Age;
 
    public function __construct($name, $email, $age) {
        $this->Name     = $name;
        $this->Email     = $email;
        $this->Age        = $age;
     
      		



双引号会让程序被检查是不是有变量

用到变量的时候用双引号才可以被编译，才可以替代成变量的值

 

还有n等要也是要双引号的,用单引号就直接输出n了

而单引号将直接把程序给显示出来

单引号的特点，省时间，编译器不会把其当作变量去翻译哦

建议没变数的用单引号



<?php
/*
* 作用：主用于文件上传后的目录自动生成
* 时间：2006-3-12
* 作者：欣然随风
*/

class class_dir
{
     /**
      * 换算实际路径
      */
function dir_path($path)
{
   $adir = explode(''/'',$path);

   for($i=0;$i<count($adir);$i++)
   {
    $key = false;
    if($adir[$i] == "..") $key = $i;

    if($key !== false)
    {
     for($j=0;$j<count($adir);$j++)
     {
      if($j==$key-1 || $j==$key) continue;
      $newadir[] = $adir[$j];
     }
     $adir = $newadir;
     $newadir = false;
     $i=$i-2;
    }
   }
   Return $path = implode("/",$adir);
}

     /**
      * 按指定路径生成目录
      */
     function dir_mkdirs($path)
     {
   $path = $this->dir_path($path);
   $adir = explode(''/'',$path);
         $dirlist = '''';
         $rootdir = array_shift($adir);
         if(!file_exists($rootdir))
             mkdir($rootdir);

         foreach($adir as $val)
         {
              $dirlist .= "/".$val;
              $dirpath = $rootdir.$dirlist;
              if(!file_exists($dirpath))
        &nbs     
      		
可以通过XML-RPC让不同平台的软件互相交互，我们假设用PHP做前台（客户端），Python作为服务后台，之间通过XML-RPC调用Python提供的服务。例子如下：
1、PHP客户端
 <?php
//xmlrpc_client.php
//XML-RPC客户端演示程序
require(''xmlrpc.inc'');
$xmlrpc_internalencoding=''UTF-8'';
//创建client对象, 三个参数依次为 path, hostname, port
#$s=new xmlrpc_client(''/testxml/xmlrpc_server.php'', ''localhost'', 80);
$s=new xmlrpc_client(''/'', ''localhost'', 8888);
//create xmlrpcval object, which allows the encoding of our variable
//创建xmlrpcval对象，将我们的PHP变量编码为XML-RPC需要的XML形式
#$inputString=new xmlrpcval(''world胜利'', ''string'');
$inputString = php_xmlrpc_encode(''胜利world'');
//create an array of parameters
//尽管我们只有一个参数，但仍然要转换成数组的形式，因为xmlrpcmsg的第二个参数是一个参数表
$parameters=array($inputString);
//create the message object
//创建XML-RPC报文，参数分别为 远程方法名 和 参数表
$msg=new xmlrpcmsg(''echoString'', $parameters);
//$s->request_charset_encoding = ''utf-8'';
//send the message, get the response
//发送报文，返回值$rsp为一个xmlrpcresp对象，它包含以下三个方法：
//faultCode() 出错代码，如果成功将返回0
//faultString() 出错信息
//value() 返回值，以xmlrpcval对象形式存在，PHP使用前需要进行解码
$s->debug = true;
$rsp=$s->send($msg);
//check for errors
if($rsp->faultcode()==0) {
    //decode the response to a PHP type
    //xmlrpc_decode()函数用于将xmlrpcval对象解码
    $response=php_xmlrpc_decode($rsp->value());
    //print results
    print ''<pre>'';
    var_dump($response);
    print ''</pre>'';
} else {
    //print errors
    print ''Error: ''.$rsp->faultcode().'', ''.$rsp->faultstring().''<br>'';
}
//show messages
//然后我们来查看一下报文内容
$msg->createpayload();
print ''REQUEST:<xmp>''.$msg->payload.''</xmp>'';
print ''RESPONSE:<xmp>''.$rsp->serialize().''</xmp>'';
?>
2、Python服务端
# -*- coding:GB2312 -*-
import SimpleXMLRPCServer
#定义自己的CMS类
class MyCMS:
    def getVersion(self
<
						
						

						
						
					

										

						
						
[!--infotagslink--]
					
					

					

						
上一篇: PHP程序员的40点陋习
下一篇: PHP的前景和趋势
					
					

						
					
					

					

						
相关文章
						

						
 不打开网页直接查看网站的源代码
     
      　　有一种方法，可以不打开网站而直接查看到这个网站的源代码.. 
　　这样可以有效地防止误入恶意网站... 
　　在浏览器地址栏输入： 
　　view-source:http://...2016-09-20
 php 调用goolge地图代码
     <?php

 require('path.inc.php');

 header('content-Type: text/html; charset=utf-8');

 $borough_id = intval($_GET['id']);

 if(!$borough_id){

  echo '

...2016-11-25
 JS基于Mootools实现的个性菜单效果代码
本文实例讲述了JS基于Mootools实现的个性菜单效果代码。分享给大家供大家参考，具体如下：这里演示基于Mootools做的带动画的垂直型菜单，是一个初学者写的，用来学习Mootools的使用有帮助，下载时请注意要将外部引用的mootools...2015-10-23
 JS+CSS实现分类动态选择及移动功能效果代码
本文实例讲述了JS+CSS实现分类动态选择及移动功能效果代码。分享给大家供大家参考，具体如下：这是一个类似选项卡功能的选择插件，与普通的TAb区别是加入了动画效果，多用于商品类网站，用作商品分类功能，不过其它网站也可以用，...2015-10-21
 JS实现自定义简单网页软键盘效果代码
本文实例讲述了JS实现自定义简单网页软键盘效果。分享给大家供大家参考，具体如下：这是一款自定义的简单点的网页软键盘，没有使用任何控件，仅是为了练习JavaScript编写水平，安全性方面没有过多考虑，有顾虑的可以不用，目的是学...2015-11-08
 php 取除连续空格与换行代码
     php 取除连续空格与换行代码，这些我们都用到str_replace与正则函数
第一种：

$content=str_replace("n","",$content);

echo $content;


第二种：

$content=preg_replac...2016-11-25
 详解前端安全之JavaScript防http劫持与XSS
作为前端，一直以来都知道HTTP劫持与XSS跨站脚本、CSRF跨站请求伪造。防御这些劫持最好的方法是从后端入手，前端能做的太少。而且由于源码的暴露，攻击者很容易绕过防御手段。但这不代表我们去了解这块的相关知识是没意义的，本文的许多方法，用在其他方面也是大有作用。...2021-05-24
 php简单用户登陆程序代码
      php简单用户登陆程序代码     这些教程很对初学者来讲是很有用的哦，这款就下面这一点点代码了哦。
<center>

  <p>&nbsp;</p>

  <p>&nbsp;</p>

  <form name="form1...2016-11-25
 PHP实现清除wordpress里恶意代码
公司一些wordpress网站由于下载的插件存在恶意代码，导致整个服务器所有网站PHP文件都存在恶意代码，就写了个简单的脚本清除。恶意代码示例...2015-10-23
 js识别uc浏览器的代码
其实挺简单的就是if(navigator.userAgent.indexOf('UCBrowser') > -1) {alert("uc浏览器");}else｛//不是uc浏览器执行的操作｝如果想测试某个浏览器的特征可以通过如下方法获取JS获取浏览器信息
浏览器代码名称：navigator...2015-11-08
 JS实现双击屏幕滚动效果代码
本文实例讲述了JS实现双击屏幕滚动效果代码。分享给大家供大家参考，具体如下：这里演示双击滚屏效果代码的实现方法，不知道有觉得有用处的没，现在网上还有很多还在用这个特效的呢，代码分享给大家吧。运行效果截图如下：在线演...2015-10-30
 JS日期加减,日期运算代码
一、日期减去天数等于第二个日期function cc(dd,dadd){//可以加上错误处理var a = new Date(dd)a = a.valueOf()a = a - dadd * 24 * 60 * 60 * 1000a = new Date(a)alert(a.getFullYear() + "年" + (a.getMonth() +...2015-11-08
 PHP开发微信支付的代码分享
微信支付，即便交了保证金，你还是处理测试阶段，不能正式发布。必须到你通过程序测试提交订单、发货通知等数据到微信的系统中，才能申请发布。然后，因为在微信中是通过JS方式调用API，必须在微信后台设置支付授权目录，而且要到...2014-05-31
 PHP常用的小程序代码段
本文实例讲述了PHP常用的小程序代码段。分享给大家供大家参考，具体如下：1.计算两个时间的相差几天$startdate=strtotime("2009-12-09");$enddate=strtotime("2009-12-05");上面的php时间日期函数strtotime已经把字符串...2015-11-24
 php怎么用拼音  简单的php中文转拼音的实现代码
      小编分享了一段简单的php中文转拼音的实现代码，代码简单易懂，适合初学php的同学参考学习。     
	  
		 代码如下
		复制代码
	  
	  
		<?phpfunction Pinyin($_String...2017-07-06
 php导出csv格式数据并将数字转换成文本的思路以及代码分享
php导出csv格式数据实现：先定义一个字符串 存储内容，例如 $exportdata = '规则111,规则222,审222,规222,服2222,规则1,规则2,规则3,匹配字符,设置时间,有效期'."/n";然后对需要保存csv的数组进行foreach循环，例如复制代...2014-06-07
 ecshop商品无限级分类代码
      ecshop商品无限级分类代码     
function cat_options($spec_cat_id, $arr)

{

    static $cat_options = array();

    if (isset($cat_options[$spec_cat_id]))...2016-11-25
 几种延迟加载JS代码的方法加快网页的访问速度
本文介绍了如何延迟javascript代码的加载，加快网页的访问速度。 

当一个网站有很多js代码要加载，js代码放置的位置在一定程度上将会影像网页的加载速度，为了让我们的网页加载速度更快，本文总结了一下几个注意点...2013-10-13
 安全地关闭MySQL服务的教程
普通关闭
我的mysql是自己下载的tar包，自己设定安装目录来安装的。停止mysql服务，说来简单，但不知道的话，还真是挠头。在这和mysql入门的同学们共享:)正确方法是，进入mysql的bin目录下，然后执行./mysqladmin -uroot -p shut...2015-11-24
 vue项目,代码提交至码云,iconfont的用法说明
这篇文章主要介绍了vue项目,代码提交至码云,iconfont的用法说明，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧...2020-07-30