我应该在PHP中注意哪些安全问题

Question

我刚刚开始学习PHP，我一直在ASP.Net开发Web应用程序很长一段时间。我想知道是否有任何PHP特定的安全错误，我应该注意。

所以，我的问题是每个PHP开发人员应该知道的最重要的安全提示是什么？

每个答案请保留一个提示，以便人们可以有效地投票/投票。

Answer 1

（没有特别的顺序）

1. 始终检查register globals是否关闭
2. 始终检查magic quotes是否关闭
3. 确保您了解SQL injection attacks
4. 关闭生产中的error reporting

编辑：对于“新手”，这是一个基本原因（因为我有时间解释这个）：

1. 注册全局变量是一种失常。这是有史以来最终的安全漏洞。例如，如果register_globals打开，则url http://www.yourdomain.com/foo.php?isAdmin=1将$ isAdmin声明为全局变量，不需要代码。我不知道为什么这个“功能”让它成为了PHP的方式，但背后的人应该在他们的额头上纹了下面的纹身：“我发明了PHP Register Globals”所以我们可以像害虫一样逃离它们看到他们！

2. 魔术引号是另一个愚蠢的想法，它已经成为PHP的方式。基本上，当ON PHP将自动转义引号（'变为\'和“成为\”）以帮助SQL注入攻击。这个概念并不坏（有助于避免注入攻击），但是逃避所有 GET，POST和COOKIE值会使您的代码变得如此复杂（例如，每次显示和数据时都必须浏览）。此外，如果有一天你关闭此设置而不对代码进行任何更改，那么所有代码​​和/或数据都会被破坏，并且（甚至更多）容易受到注入攻击（即使在你很容易受到攻击时也是如此）。

   < / LI>

3. 您的数据库数据是您网站上最有价值的内容。你不希望别人搞砸它，所以要记住这一点，保护自己并阅读和代码。

4. 这又可能导致安全问题。错误消息可以提供有关代码如何工作的hackes的提示。此外，这些消息对访问者没有任何意义，为什么要显示它们？

Answer 2

避免使用register_globals。

  

警告：自PHP 5.3.0开始，此功能已被弃用，自PHP 5.4.0起已被删除。

Answer 3

• 跨站点脚本（XSS）Wiki，Google
• 跨站点请求伪造（XSRF / CSRF）Wiki，Google（感谢Rook）
  • 会话修复Wiki，Google
• SQL注入（SQLi）Wiki，Google
• 关闭生产环境中的错误消息
• 将任何“包含”代码保存在不可通过Web访问的目录中（拒绝访问或将其保留在webroot之外）
• 这是我撰写的关于storing passwords in a secure way的文章，如果您不想接受我的话，请查看底部的链接。
• 在我的文章中也有链接，但在这里给出了自己的单独链接，是M.I.T.发表的一篇论文。叫The DOs and DON'Ts of Client Authentication on the Web ^[PDF]。虽然它的一些信息（建议使用MD5哈希，仅为一个）仅仅因为我们现在知道什么而不是我们知道什么，但总体原则非常强大，应该加以考虑。
• Rooks之一的链接让我想起了另一套重要的限制
  • 关闭注册全局（这是现在的默认值，所以我之前没有提到过）
  • 处理文件上传时，请务必使用is_uploaded_file()验证文件是否已上传，move_uploaded_file()代替copy()或rename()。
    • 如果您需要知道原因（并且确实如此），请阅读this section of the PHP Manual。
• 由于我现在已经两次提到他，请查看Rooks's Answer（https://stackoverflow.com/questions/2275771/what-are-the-most-important-safety-precautions-that-a-php-developer-needs-to-know#2275788），因为它包含指向文档的链接，该文档包含有关最重要安全问题的（非PHP特定）信息（这可能是正确答案）。

Answer 4

这是一个很好的PHP安全编程实践的链接。

http://phpsec.org/

大多数安全问题都围绕着用户输入（自然地），并确保它们不会让你烦恼。务必确保验证输入。

http://htmlfixit.com/cgi-tutes/tutorial_PHP_Security_Issues.php

Answer 5

1. 始终清理并验证从页面传递的数据
2. 与＃1一起使用，始终正确转义输出
3. 始终在生产中关闭display_errors
4. 如果使用数据库后端，请使用支持/模拟预准备语句的驱动程序，并在不带偏见的情况下使用： - ）

Answer 6

不要使用“注册全局变量”并过滤用户输入的xss和注入

Answer 7

语言与程序员。您可以编写最严重的漏洞，但不会收到警告或错误消息。漏洞可以像在代码中添加或删除2个字符一样简单。有数百种不同类型的漏洞会影响PHP应用程序。大多数人都会想到XSS和Sql Injection，因为它们是最受欢迎的。

阅读OWASP top 10。

Answer 8

如果您使用的是mysql数据库，请确保在向数据库发送数据时调用mysql_real_escape_string

Answer 9

有很多安全预防措施。我可以推荐一本书Chris Shiflett：PHP和Web应用程序安全性。

http://phpsecurity.org/

Answer 10

查看Suhosin Hardening Patch，然后查看security vulnerabilities that it addresses。

Answer 11

PHPSec Guide提供了一个很好的概述。

Answer 12

OWASP提供了很多关于当前应用程序中最大问题的安全问题的见解。很高兴看到他们有一个PHP专用页面

http://www.owasp.org/index.php/PHP_Top_5

Answer 13

与PHP相关的大多数安全问题都来自使用未解析的“外部”（GET / POST / COOKIE）变量。人们将这种数据直接放入文件路径或SQL查询中，导致文件泄漏或sql注入。

Answer 14

1. 始终关闭SQL连接。
2. 始终发布SQL结果。
3. 始终清理您放入数据库的所有变量。
4. 从sql中删除或删除使用限制1以防万一。
5. 开发时确保锁定物品以防止不良反应。如果它是开放的，你知道现在不加载页面，因为它可能会破坏某些东西，并不意味着其他人会这样做。
6. 切勿使用Admin或Root作为服务器登录名。

Answer 15

尽可能使用准备好的语句（tutorial。在处理用户输入时几乎是必须的（我说“差不多”，因为有一些用例不起作用），即使不是处理输入，他们会让你养成习惯。更不用说它们可以带来更好的表现，而且一旦你进入了事物的变化，就会比零碎的消毒更容易。

Answer 16

通常，入门教程根本不讨论检查用户的数据。与所有编程环境一样，永远不要相信您从用户那里获得的数据。学习使用is_numeric()，isset()和mysql_real_escape_string()等功能来保护您的系统。

还有一些功能可以让您访问远程文件和其他创意内容。在你清楚地了解它们是如何以及何时工作之前我会避免使用它们（通常由于安全原因它们被禁用）。

Answer 17

使用POST方法将数据从一个页面传递到另一个页面。

在获取trim($_POST)等数据时使用trim。 另外，在传递查询之前，请对变量使用strip_tags。

我建议您使用任何框架链接Codeigniter，Laravel，YII，Cake PHP因为他们的佣金框架与所有证券

我推荐Codeigniter用于小型项目，而Laravel用于大型项目。

Answer 18

始终使用POST而不是GET用于重要数据......