資訊專欄INFORMATION COLUMN
摘要:原文譯文有用的安全函數譯者安全是編程非常重要的一個方面。一起看看中常用的可以確保項目安全的函數。現在這個函數并不被認為是安全的,因為開源的數據庫可以反向檢查一個散列值的明文。也不要把絕對安全寄托在這個函數上,否則會有意想不到的結果。
原文:Useful functions to provide secure PHP application
譯文:有用的PHP安全函數
譯者:dwqs
安全是編程非常重要的一個方面。在任何一種編程語言中,都提供了許多的函數或者模塊來確保程序的安全性。在現代網站應用中,經常要獲取來自世界各地用戶的輸入,但是,我們都知道“永遠不能相信那些用戶輸入的數據”。所以在各種的Web開發語言中,都會提供保證用戶輸入數據安全的函數。今天,我們就來看看,在著名的開源語言PHP中有哪些有用的安全函數。
在PHP中,有些很有用的函數開源非常方便的防止你的網站遭受各種攻擊,例如SQL注入攻擊,XSS(Cross Site Scripting:跨站腳本)攻擊等。一起看看PHP中常用的、可以確保項目安全的函數。注意,這并不是完整的列表,是我覺得對于你的i項目很有的一些函數。
1. mysql_real_escape_string()這個函數在PHP中防止SQL注入攻擊時非常有用。這個函數會對一些例如單引號、雙引號、反斜杠等特殊字符添加一個反斜杠以確保在查詢這些數據之前,用戶提供的輸入是干凈的。但要注意,你是在連接數據庫的前提下使用這個函數。
但是現在已經不推薦使用mysql_real_escape_string()了,所有新的應用應該使用像PDO一樣的函數庫執行數據庫操作,也就是說,我們可以使用現成的語句防止SQL注入攻擊。
2. addslashes()這個函數的原理跟mysql_real_escape_string()相似。但是當在php.ini文件中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函數。magic_quotes_gpc 的默認值是on,對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函數來確定它是否開啟。
3. htmlentities()這個函數對于過濾用戶輸入的數據非常有用。它會將一些特殊字符轉換為HTML實體。例如,用戶輸入<時,就會被該函數轉化為HTML實體<(<),輸入>就被轉為實體>.(HTML實體對照表:http://www.w3school.com.cn/html/html_entities.asp),可以防止XSS和SQL注入攻擊。
4. htmlspecialchars()在HTML中,一些特定字符有特殊的含義,如果要保持字符原來的含義,就應該轉換為HTML實體。這個函數會返回轉換后的字符串,例如‘&’ (ampersand) 轉為’&‘(ps:請參照第三點中的實體對照表鏈接)
附上此函數常見的轉換字符:
The translations performed are:
‘&’ (ampersand) becomes ‘&’ ‘”‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set. “‘” (single quote) becomes ‘'’ (or ') only when ENT_QUOTES is set. ‘<’ (less than) becomes ‘<’ ‘>’ (greater than) becomes ‘>’5. strip_tags()
這個函數可以去除字符串中所有的HTML,JavaScript和PHP標簽,當然你也可以通過設置該函數的第二個參數,讓一些特定的標簽出現。
6. md5()從安全的角度來說,一些開發者在數據庫中存儲簡單的密碼的行為并不值得推薦。md5()函數可以產生給定字符串的32個字符的md5散列,而且這個過程不可逆,即你不能從md5()的結果得到原始字符串。
現在這個函數并不被認為是安全的,因為開源的數據庫可以反向檢查一個散列值的明文。你可以在這里找到一個MD5散列數據庫列表
7. sha1()這個函數與md5()類似,但是它使用了不同的算法來產生40個字符的SHA-1散列(md5產生的是32個字符的散列)。也不要把絕對安全寄托在這個函數上,否則會有意想不到的結果。
8. intval()先別笑,我知道這個函數和安全沒什么關系。intval()函數是將變量轉成整數類型,你可以用這個函數讓你的PHP代碼更安全,特別是當你在解析id,年齡這樣的數據時。
原文首發:http://www.ido321.com/1202.html
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/31902.html
摘要:但最近又聽說了另一種跨站攻擊,于是找了些資料了解了一下,并與放在一起做個比較。腳本中的不速之客全稱跨站腳本,是注入攻擊的一種。 XSS:跨站腳本(Cross-site scripting) CSRF:跨站請求偽造(Cross-site request forgery) 在那個年代,大家一般用拼接字符串的方式來構造動態 SQL 語句創建應用,于是 SQL 注入成了很流行的攻擊方式。...
摘要:怎樣才算是高性能的應用性能和速度不是一對同義詞。紅線表示針對速度進行了優化的腳本,藍線是可擴展性優先的腳本。將任何這些功能置于循環中可能會導致性能問題。完整的代碼檢測評估雖然可能很耗時,但它可以為你提供有關應用程序性能的深入信息。 showImg(https://segmentfault.com/img/bVNxDn?w=900&h=500);程序員都喜歡最新的PHP 7,因為它使PH...
以下是Java技術棧微信公眾號發布的關于 Java 的技術干貨,從以下幾個方面匯總。 Java 基礎篇 Java 集合篇 Java 多線程篇 Java JVM篇 Java 進階篇 Java 新特性篇 Java 工具篇 Java 書籍篇 Java基礎篇 8張圖帶你輕松溫習 Java 知識 Java父類強制轉換子類原則 一張圖搞清楚 Java 異常機制 通用唯一標識碼UUID的介紹及使用 字符串...
閱讀 3070·2023-04-25 16:50
閱讀 904·2021-11-25 09:43
閱讀 3512·2021-09-26 10:11
閱讀 2518·2019-08-26 13:28
閱讀 2531·2019-08-26 13:23
閱讀 2419·2019-08-26 11:53
閱讀 3566·2019-08-23 18:19
閱讀 2987·2019-08-23 16:27
