|
|
#1:管理安裝腳本
如果開(kāi)發(fā)人員已經(jīng)安裝了一套第三方應(yīng)用程序的php腳本,該腳本用于安裝整個(gè)應(yīng)用程序的工作組件,并提供一個(gè)接入點(diǎn)。大多數(shù)第三方軟件包都建議在安裝后,刪除該目錄包含的安裝腳本。但開(kāi)發(fā)人員希望保留安裝腳本,他們可以創(chuàng)建一個(gè).htaccess文件來(lái)控制管理訪問(wèn)目錄。
AuthType Basic
AuthName “Administrators Only”
AuthUserFile /usr/local/apache/passwd/passwords
Require valid-user
任何未經(jīng)授權(quán)的用戶(hù),如果試圖訪問(wèn)一個(gè)受保護(hù)的目錄,將會(huì)看到一個(gè)提示,要求輸入用戶(hù)名和密碼。密碼必須匹配指定的“passwords”文件中的密碼。
#2:頭文件
在很多情況下,開(kāi)發(fā)人員可以將分布在應(yīng)用程序的幾個(gè)腳本包含進(jìn)一個(gè)腳本里。這些腳本將包含一個(gè)“include”指令,集成單個(gè)文件到原始頁(yè)面的代碼里。當(dāng)“include”文件包含敏感信息,包括用戶(hù)名、密碼和數(shù)據(jù)庫(kù)訪問(wèn)密鑰時(shí),該文件的擴(kuò)展名應(yīng)該命名成“.php ",而不是典型的“.inc”擴(kuò)展。“.php”擴(kuò)展確保php引擎將處理該文件,并防止任何未經(jīng)授權(quán)的訪問(wèn)。
#3: MD5 vs. SHA
在某些情況下,用戶(hù)最終會(huì)創(chuàng)建自己的用戶(hù)名和密碼,而站點(diǎn)管理員通常會(huì)對(duì)表單提交的密碼加密,并保存在數(shù)據(jù)庫(kù)中。在過(guò)去的幾年中,開(kāi)發(fā)人員會(huì)使用MD5(消息摘要算法)函數(shù),加密成一個(gè)128位的字符串密碼。今天,很多開(kāi)發(fā)人員使用SHA-1(安全散列算法)函數(shù)來(lái)創(chuàng)建一個(gè)160位的字符串。
#4: 自動(dòng)全局變量
php.ini文件中包含的設(shè)置稱(chēng)為“register_globals”。P服務(wù)器會(huì)根據(jù)register_globals的設(shè)置,將會(huì)為服務(wù)器變量和查詢(xún)字符串自動(dòng)創(chuàng)建全局變量。在安裝第三方的軟件包時(shí),比如內(nèi)容管理軟件,像Joomla和Drupal,安裝腳本將引導(dǎo)用戶(hù)把register_globals設(shè)置為“關(guān)閉”。將設(shè)置改變?yōu)椤瓣P(guān)閉”可以確保未經(jīng)授權(quán)的用戶(hù)無(wú)法通過(guò)猜測(cè)變量名稱(chēng)及驗(yàn)證密碼來(lái)訪問(wèn)數(shù)據(jù)。
#5: 初始化變量和值
許多開(kāi)發(fā)人員都落入了實(shí)例化變量不賦值的陷阱,原因可能由于時(shí)間的限制而分心,或缺乏努力。身份驗(yàn)證過(guò)程中的變量,應(yīng)該在用戶(hù)登錄程序開(kāi)始前就有值。這個(gè)簡(jiǎn)單的步驟可以防止用戶(hù)繞過(guò)驗(yàn)證程序或訪問(wèn)站點(diǎn)中某些他們沒(méi)有權(quán)限的區(qū)域
php技術(shù):PHP的5個(gè)安全措施小結(jié),轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
