【PHP】php在安全方面有哪些问题?
2012-10-25 16:41
369 查看
* POST/GET页面参数传值/字符串输入/数据入库等类似操作都要做好严格的危险字符过滤处理
* 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理
* 敏感信息(如PASSWORD/银行帐号等)不要依赖cookie、session,最好读表,并尽量缓存读表数据
* 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露
* 要完全屏掉所有出错提示,或者能捕获所有出错并重新定制输出,以防报错信息泄露你的网站及相关文件路
径,MySQL字段/网站环境等
* 所有对库表的写入与读取操作都需要做好访问来路限制/同IP同内容读写间隔限制/并验证POST与GET的指定
标识KEY的有效性等这些安全动作
* 有类似文件下载/或文本流下载等功能的,尽量不要在URL里面直接调用目标文件地址的方式来做,最好是传ID
或是指定的NAME标识
* MySQL 的用户最好分开,不要用root用户来连接MySQL,另建专用用户,并限制死此用户的权限,只能操作指
定的库,最好去掉此用户的命令行导入导出的权限等这些危险的权限
* 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理
* 敏感信息(如PASSWORD/银行帐号等)不要依赖cookie、session,最好读表,并尽量缓存读表数据
* 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露
* 要完全屏掉所有出错提示,或者能捕获所有出错并重新定制输出,以防报错信息泄露你的网站及相关文件路
径,MySQL字段/网站环境等
* 所有对库表的写入与读取操作都需要做好访问来路限制/同IP同内容读写间隔限制/并验证POST与GET的指定
标识KEY的有效性等这些安全动作
* 有类似文件下载/或文本流下载等功能的,尽量不要在URL里面直接调用目标文件地址的方式来做,最好是传ID
或是指定的NAME标识
* MySQL 的用户最好分开,不要用root用户来连接MySQL,另建专用用户,并限制死此用户的权限,只能操作指
定的库,最好去掉此用户的命令行导入导出的权限等这些危险的权限
相关文章推荐
- 分针网——每日分享:PHP开发几点安全问题
- php弱类型安全问题
- 不要轻信 PHP_SELF的安全问题
- PHP 安全问题
- PHP文件上传中的安全问题
- php编程设计安全方面的18条“军规”
- 学习php应该注意哪些问题
- PHP代码审计笔记--弱类型存在的安全问题
- php的一个小特征可能引用发的安全问题
- 互联网服务器的实现过程需要考虑哪些安全问题 & 加解密及哈希知识点
- WEB 安全方面需要特别注意的问题
- 整理一些PHP开发安全问题
- 在PHP中操作MySQL要注意哪些问题?
- PHP开发中常见的安全问题详解和解决方法
- PHP和MySQL数据库经常出现的安全问题及其预防
- 面试时被问到的一些PHP开发安全问题
- PHP开发安全问题总结
- 穿戴式智能设备有哪些潜在安全问题?(下)
- LFI、RFI、PHP封装协议安全问题学习