PHP 程序员最易犯 10 种错误
是个伟大的
web 开发语言,灵活的语言,但是看到 php 程序员周而复始的犯的一些错
误。我做了下面这个列表,列出了
PHP 程序员经常犯的 10 中错误,大多数和安全相关。看
看你犯了几种:
1.不转意 html entities
一个基本的常识:所有不可信任的输入(特别是用户从
form 中提交的数据) ,输出之前
都要转意。
echo $_GET['usename'] ;
这个例子有可能输出:
<scr
t>/*更改 admin 密码的脚本或设置 cookie 的脚本*/</script>
这是一个明显的安全隐患,除非你保证你的用户都正确的输入。
如何修复:
我们需要将
”< “,”>”,”and”等转换成正确的 HTML 表示(<, >’, and “),函数 htmlspecialchars
和
htmlentities()正是干这个活的。
正确的方法:
echo htmlspecialchars($_GET['username'], ENT_QUOTES);
2. 不转意 SQL 输入
我曾经在一篇文章中最简单的防止
sql
的方法
(php+
)讨论过这个问题并给出
了一个简单的方法。有人对我说,他们已经在
php.ini 中将 magic_quotes 设置为 On,所以不
必担心这个问题,但是不是所有的输入都是从
$_GET, $_POST 或 $_COOKIE 中的得到的!
如何修复:
和 在 最 简 单 的 防 止
sql 注 入 的 方 法 (php+mysql 中 ) 中 一 样 我 还 是 推 荐 使 用
mysql_real_escape_string()函数
正确做法:
<?php
$sql = “UPDATE users SET
name=’.mysql_real_escape_string($name).’
WHERE id=’.mysql_real_escape_string ($id).’”;
mysql_query($sql);
?>
3.错误的使用 HTTP-header 相关的函数:header(),
_start(), setcookie()
遇到过这个警告吗
?”warning: Cannot addheader information - headers already sent [....]
每次从服务器下载一个网页的时候,服务器的输出都分成两个部分:头部和正文。
头部包含了一些非可视的数据,例如
cookie。头部总是先到达。正文部分包括可视的 html,
图片等数据。
如果
output_buffering 设置为 Off,所有的 HTTP-header 相关的函数必须在有输出之前调用。
问题在于你在一个环境中开发,而在部署到另一个环境中去的时候,
output_buffering 的设
置可能不一样。结果转向停止了,
cookie 和 session 都没有正确的设置……..。
如何修复
:
确保在输出之前调用
http-header 相关的函数,并且令 output_buffering = Off
。
4. Require 或 include 的文件使用不安全的数据
再次强调:不要相信不是你自己显式声明的数据。不要
Include 或 require 从$_GET,$_POST
或
$_COOKIE 中得到的文件。
例如
: