14 define(“GREETING”, ‘hello there’ . $myUsername); //clean!
15 function cleanInput($input){ $clean = strtolower($input);
16 $clean = preg_replace(“/[^a-z]/”, “”, $clean);
17 $clean = substr($clean,0,12);return $clean;
18 }
19 ?>
规则 2:禁用那些使安全性难以实施的 PHP 设置
已经知道了不能信任用户输入,还应该知道不应该信任机器上配置 PHP 的方式。例如,
要确保禁用 register_globals
。如果启用了 register_globals,就可能做一些粗心的事情,比如
使用 $variable
替换同名的 GET
或 POST 字符串。通过禁用这个设置,PHP 强迫您在正确
的名称空间中引用正确的变量。要使用来自表单 POST 的变量,应该引用
$_POST['variable']
。这样就不会将这个特定变量误会成 cookie
、会话或 GET 变量。
规则 3:如果不能理解它,就不能保护它
一些开发人员使用奇怪的语法,或者将语句组织得很紧凑,形成简短但是含义模糊的代
码。这种方式可能效率高,但是如果您不理解代码正在做什么,那么就无法决定如何保护
它。例如,您喜欢下面两段代码中的哪一段?
20
清单 4.
使代码容易得到保护
21 //obfuscated code
22 $input = (isset($_POST['username']) ? $_POST['username']:”);
23 //unobfuscated code
24 $input ='';
25 if (isset($_POST['username'])){
26 $input = $_POST['username'];
27 }else{
28 $input ='';
29 }
在第二个比较清晰的代码段中,很容易看出 $input 是有瑕疵的,需要进行清理,然后才
能安全地处理。
规则 4 “
”
: 纵深防御 是新的法宝
本教程将用示例来说明如何保护在线表单,同时在处理表单的 PHP 代码中采用必要的措
施。同样,即使使用 PHP regex
来确保 GET 变量完全是数字的,仍然可以采取措施确保
SQL 查询使用转义的用户输入。纵深防御不只是一种好思想,它可以确保您不会陷入严重
的麻烦。既然已经讨论了基本规则,现在就来研究第一种威胁:SQL 注入攻击。
◆防止 SQL 注入攻击
在 SQL
注入攻击中,用户通过操纵表单或 GET 查询字符串,将信息添加到数据库查询