$arrayarrayUsers = array($myUsername, ‘tom’, ‘tommy’); //clean!
define(“GREETING”, ‘hello there’ . $myUsername); //clean!
function cleanInput($input){ $clean = strtolower($input);
$clean = preg_replace(“/[^a-z]/”, “”, $clean);
$clean = substr($clean,0,12);return $clean;
}
?>
规则 2:禁用那些使安全性难以实施的 PHP 设置
已经知道了不能信任用户输入,还应该知道不应该信任机器上配置 PHP 的方
式。例如,要确保禁用 register_globals
。如果启用了 register_globals,就可
能做一些粗心的事情,比如使用 $variable
替换同名的 GET
或 POST 字符串。
通过禁用这个设置,PHP 强迫您在正确的名称空间中引用正确的变量。要使用
来自表单 POST
的变量,应该引用 $_POST['variable']。这样就不会将这个特
定变量误会成 cookie
、会话或 GET 变量。
规则 3:如果不能理解它,就不能保护它
一些开发人员使用奇怪的语法,或者将语句组织得很紧凑,形成简短但是含
义模糊的代码。这种方式可能效率高,但是如果您不理解代码正在做什么,那
么就无法决定如何保护它。例如,您喜欢下面两段代码中的哪一段?
清单 4.
使代码容易得到保护
//obfuscated code
$input = (isset($_POST['username']) ? $_POST['username']:”);
//unobfuscated code
$input =”;
if (isset($_POST['username'])){
$input = $_POST['username'];
}else{
$input =”;
}
在第二个比较清晰的代码段中,很容易看出 $input 是有瑕疵的,需要进行清
理,然后才能安全地处理。
规则 4 “
”
: 纵深防御 是新的法宝
本教程将用示例来说明如何保护在线表单,同时在处理表单的 PHP 代码中采
用必要的措施。同样,即使使用 PHP regex
来确保 GET 变量完全是数字的,
仍然可以采取措施确保 SQL 查询使用转义的用户输入。纵深防御不只是一种
好思想,它可以确保您不会陷入严重的麻烦。既然已经讨论了基本规则,现在
就来研究第一种威胁:SQL 注入攻击。
◆防止 SQL 注入攻击