14 define(“GREETING”, ‘hello there’ . $myUsername); //clean!
15 function cleanInput($input){   $clean = strtolower($input);
16 $clean = preg_replace(“/[^a-z]/”, “”, $clean);
17 $clean = substr($clean,0,12);return $clean;
18 }
19 ?>

规则 2：禁用那些使安全性难以实施的 PHP 设置

已经知道了不能信任用户输入，还应该知道不应该信任机器上配置 PHP 的方式。例如，

要确保禁用 register_globals

。如果启用了 register_globals，就可能做一些粗心的事情，比如

使用 $variable

替换同名的 GET

或 POST 字符串。通过禁用这个设置，PHP 强迫您在正确

的名称空间中引用正确的变量。要使用来自表单 POST 的变量，应该引用
$_POST['variable']

。这样就不会将这个特定变量误会成 cookie

、会话或 GET 变量。

规则 3：如果不能理解它，就不能保护它

一些开发人员使用奇怪的语法，或者将语句组织得很紧凑，形成简短但是含义模糊的代
码。这种方式可能效率高，但是如果您不理解代码正在做什么，那么就无法决定如何保护
它。例如，您喜欢下面两段代码中的哪一段?

清单 4.

使代码容易得到保护

21 //obfuscated code
22 $input = (isset($_POST['username']) ? $_POST['username']:”);
23 //unobfuscated code
24 $input ='';
25 if (isset($_POST['username'])){
26 $input = $_POST['username'];
27 }else{
28 $input ='';
29 }

在第二个比较清晰的代码段中，很容易看出 $input 是有瑕疵的，需要进行清理，然后才
能安全地处理。

规则 4 “

”

：纵深防御是新的法宝

本教程将用示例来说明如何保护在线表单，同时在处理表单的 PHP 代码中采用必要的措

施。同样，即使使用 PHP regex

来确保 GET 变量完全是数字的，仍然可以采取措施确保

SQL 查询使用转义的用户输入。纵深防御不只是一种好思想，它可以确保您不会陷入严重
的麻烦。既然已经讨论了基本规则，现在就来研究第一种威胁：SQL 注入攻击。

◆防止 SQL 注入攻击

在 SQL

注入攻击中，用户通过操纵表单或 GET 查询字符串，将信息添加到数据库查询