根据文章内容,
实现PHP平安Zui巨大化的方法:
- 禁用 register_globals在php.ini中设置
register_globals = Off,避免全局变量带来的平安凶险。
- 用平安模式在php.ini中设置
safe_mode = On,管束PHP脚本访问文件和施行命令。
- 管束 open_basedir在php.ini中设置
open_basedir,管束PHP脚本Neng访问的目录。
- 关闭错误报告在php.ini中设置
display_errors = Off,避免错误信息泄露敏感信息。
- 管束文件操作对于上传目录等敏感目录,Neng去掉PHP说明白功Neng,避免施行恶意脚本。
- 用预编译语句用PDO或MySQLi等
的预处理语句,避免SQL注入打。
- 用正则表达式管束输入对用户输入进行正则表达式匹配,确保输入符合预期格式。
- 清理用户输入用函数如
mysql_real_escape_string对用户输入进行清理,避免SQL注入打。
- 检查上传文件检查上传文件的类型和巨大细小,避免上传恶意文件。
- 用HTTPS用HTTPS加密数据传输,避免中间人打。
避免SQL注入漏洞:
- 用预编译语句用PDO或MySQLi等
的预处理语句, 将用户输入作为参数传递,避免SQL注入打。
- 用参数化查询将SQL语句中的变量替换为参数,然后施行查询,避免SQL注入打。
- 清理用户输入用函数如
mysql_real_escape_string对用户输入进行清理,避免SQL注入打。
避免XSS跨站脚本打:
- 清理用户输入对用户输入进行编码, 避免将用户输入作为HTML输出,避免XSS打。
- 用htmlspecialchars函数对用户的输入进行编码,避免XSS打。
- 用内容平安策略设置HTTP头
Content-Security-Policy, 管束网页Neng加载的材料,避免XSS打。
通过以上方法, Neng有效地搞优良PHP应用程序的平安性,避免SQL注入和XSS跨站脚本打等平安漏洞。
