创建高安全性PHP网站的几个实用要点

一、

禁用register_globals

在php.ini中设置register_globals = off

还有magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase等，停用掉

在.htaccess文件中设置

　　php_flag magic_quotes_gpc 0

　　php_flag magic_quotes_runtime 0

　　在php.ini中设置

　　magic_quotes_gpc = Off

　　magic_quotes_runtime = Off

　　magic_quotes_sybase = Off

二、
验证用户输入 你当然也可以验证用户的输入，首先必须知道你期望用户输入的数据类型。这样就能在浏览器端做好防御用户恶意攻击你的准备。

避免用户进行交叉站点脚本攻击 在Web应用中，都是简单地接受用户输入表单然后反馈结果。在接受用户输入时，如果允许HTML格式输入将是非常危险的事情，因为这也就允许了JavaScript以不可预料的方式侵入后直接执行。哪怕只要有一个这样漏洞，cookie数据都可能被盗取进而导致用户的账户被盗取。

三、

预防SQL注入攻击 PHP基本没有提供任何工具来保护你的数据库，所以当你连接数据库时，你可以使用下面这个mysqli_real_escape_string 函数。

　　$username = mysqli_real_escape_string( $GET['username'] );

　　mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);

四、

在你的有表单提交的程序中，如果涉及到用表单提交的变量作为文件操作的变量的话，要格外小心，因为恶意攻击者有可能提交./或者../这样的目录跳转符，如果你的路径审核不完善，导致操作到敏感文件。例如：

//build an include-path from the url-request

$loadme = "inc/backend/" . $_GET['page'] . ".php";

//yee-hah! finally we do show real content on our page!

include ($loadme);

这段程序很简单却包含了一个可怕的漏洞,变量$page是我们GET上去的,默认的想法是将$page的值作为文件名包含inc/backend/目录下的php文件，但是这里并没有对$page的值做任何的过滤,导致我们可以遍历所有文件了.

这里要注意的是,我们提交的$page的值会自动的加上php后缀,所以我们直接提交要窃取的非php文件名是没有效果的，但是可以通过变量末尾添加%00字串来截断后缀以达到目的，百度搜索%00的解释是：

%00就是一个返回符号,类似于C中的"/0"和对象语言中的NULL,也是WINDOWS 中的空格

我们提交如下URL看看结果

http://localhost/loudblog/loudblog/loudblog/index.php?page=/../../hello.txt%00
测试成功说明漏洞存在了,那我们接着读一些敏感文件吧,提交如下URL: http://localhost/loudblog/loudblog/loudblog/index.php?page=/../../../../../../conf/httpd.conf%00
APACHE的配置文件也顺利读出来了