PHP 是个伟大的 web 开发语言,灵活的语言,但是看到 php 程序员周而复始的犯的一些
错误。我做了下面这个列表,列出了 PHP 程序员经常犯的 10 中错误,大多数和安全相关。
看看你犯了几种 1.不转意 html entities
一个基本的常识:所有不可信任的输入(特别是用户从 form
中提交的数据) ,输出之
前都要转意。
echo $_GET['usename'] ;
这个例子有可能输出:
<script>/*更改 admin 密码的脚本或设置 cookie 的脚本*/</script>
这是一个明显的安全隐患,除非你保证你的用户都正确的输入。
如何修复 :
我 们 需 要 将 "< ",">","and" 等 转 换 成 正 确 的 HTML 表 示 (< , >', and ") , 函 数
htmlspecialchars
和 htmlentities()正是干这个活的。
正确的方法:
echo htmlspecialchars($_GET['username'], ENT_QUOTES);
2. 不转意 SQL 输入
我曾经在一篇文章中
讨论过这个问题并给出
了一个简单的方法 。有人对我说,他们已经在 php.ini 中将 magic_quotes 设置为 On,所
以不必担心这个问题,但是不是所有的输入都是从$_GET, $_POST
或 $_COOKIE 中的
得到的!
如何修复:
和 在
中 一 样 我 还 是 推 荐 使 用
mysql_real_escape_string()函数
正确做法:
<?php
$sql = "UPDATE users SET
name='.mysql_real_escape_string($name).'
WHERE id='.mysql_real_escape_string ($id).'";
mysql_query($sql);
?>
3.错误的使用 HTTP-header 相关的函数: header(), session_start(), setcookie()