分类目录归档:全部列表

2014
11-07

PHP安全之文件系统安全及防范措施

PHP遵从大多数服务器系统中关于文件和目录权限的安全机制。这就使管理员可以控制哪些文件在文件系统内是可读的。必须特别注意的是全局的可读文件,并确保每一个有权限的用户对这些文件的读取动作都是安全的。PHP被设计为以用户级别来访问文件系统,所以完全有可能通过编写一段PHP代码来读取系统文件如/etc/passwd,更改网络连接以及发送大量打印任务等等。因此必须确保PHP代码读取和写入的是合适的文件。请看下面的代码... 继续阅读 >
2014
11-07

PHP安全之文件系统安全——Null字符问题

由于PHP的文件系统操作是基于C语言的函数的,所以它可能会以您意想不到的方式处理Null字符。Null字符在C语言中用于标识字符串结束,一个完整的字符串是从其开头到遇见Null字符为止。以下代码演示了类似的攻击:Example#1会被Null字符问题攻击的代码<?php$file=$_GET['file'];//"../../etc/passwd\0"if(file_exists('/home/wwwrun/'.$file.'.php')){//文件/home/wwwrun/../../etc/passw... 继续阅读 >
2014
11-07

PHP安全之数据库安全——SQL注入及预防措施

很多web开发者没有注意到SQL查询是可以被篡改的,因而把SQL查询当作可信任的命令。殊不知道,SQL查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过SQL查询去运行主机操作系统级的命令。直接SQL命令注入就是攻击者常用的一种创建或修改已有SQL语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成SQL... 继续阅读 >
2014
11-07

PHP安全之数据库安全——设计、连接和加密

设计数据库第一步一般都是创建数据库,除非是使用第三方的数据库服务。当创建一个数据库的时候,会指定一个所有者来执行和新建语句。通常,只有所有者(或超级用户)才有权对数据库中的对象进行任意操作。如果想让其他用户使用,就必须赋予他们权限。应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库,因为这些帐号可以执行任意的操作,比如说修改数据库结构(例如删除一个表)或者清空整个数据库的内容。应该为程... 继续阅读 >
2014
11-07

PHP安全之错误报告

对于PHP的安全性来说错误报告是一把双刃剑。一方面可以提高安全性,另一方面又有害。攻击系统时经常使用的手法就是输入不正确的数据,然后查看错误提示的类型及上下文。这样做有利于攻击者收集服务器的信息以便寻找弱点。比如说,如果一个攻击者知道了一个页面所基于的表单信息,那么他就会尝试修改变量:Example#1用自定义的HTML页面攻击变量<formmethod="post"action="attacktarget?username=badfoo&amp;password... 继续阅读 >
2014
11-07

PHP安全之使用 Register Globals

本特性已自PHP5.3.0起废弃并将自PHP5.4.0起移除。可能 PHP 中最具争议的变化就是从 PHP 4.2.0 版开始配置文件中 PHP 指令 register_globals 的默认值从on改为off了。对此选项的依赖是如此普遍以至于很多人根本不知道它的存在而以为 PHP 本来就是这么工作的。本节会解释用这个指令如何写出不安全的代码,但要知道这个指令本身没有不安全的地方,误用才会。当... 继续阅读 >
2014
11-07

PHP安全之用户提交的数据

很多PHP程序所存在的重大弱点并不是PHP语言本身的问题,而是编程者的安全意识不高而导致的。因此,必须时时注意每一段代码可能存在的问题,去发现非正确数据提交时可能造成的影响。Example#1危险的变量用法<?php//从用户目录中删除一个文件,或者……能删除更多的东西?unlink($evil_var);//记录用户的登陆,或者……能否在/etc/passwd添加数据?fwrite($fp,$evil_var);//执行一些普通的命... 继续阅读 >
2014
11-07

PHP安全之魔术引号——什么是魔术引号以及如何使用

注:魔术引号特性已自PHP5.3.0起废弃并将自PHP5.4.0起移除。什么是魔术引号当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令:magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST和COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。magic_quotes_runtime 如果打开的话,大部份从外部... 继续阅读 >
2014
11-07

PHP安全之隐藏PHP脚本扩展名

一般而言,通过隐藏的手段提高安全性被认为是作用不大的做法。但某些情况下,尽可能的多增加一份安全性都是值得的。一些简单的方法可以帮助隐藏PHP,这样做可以提高攻击者发现系统弱点的难度。在 php.ini 文件里设置expose_php=off,可以减少他们能获得的有用信息。另一个策略就是让web服务器用PHP解析不同扩展名。无论是通过 .htaccess 文件还是Apache的配置文件,都可以设置能误导攻击者的文件扩展名:Exampl... 继续阅读 >
2014
11-07

PHP特点之用 PHP 进行 HTTP 认证

PHP的 HTTP 认证机制仅在PHP以Apache模块方式运行时才有效,因此该功能不适用于CGI版本。在Apache模块的PHP脚本中,可以用 header() 函数来向客户端浏览器发送“AuthenticationRequired”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有URL的PHP脚本将会加上预定义变量PHP_AUTH_USER,PHP_AUTH_PW 和 AUTH_TYPE 被再次调用,这三个变量分别被设定... 继续阅读 >
2014
11-07

PHP特点之会话机制1——Cookie的使用

PHP透明地支持 HTTP cookie。cookie是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。可以用 setcookie() 或 setrawcookie() 函数来设置cookie。cookie是 HTTP 标头的一部分,因此 setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对 header() 函数的限制类似。可以使用输出缓冲函数来延迟脚本的输出,直到按需要设置好了所有的cookie或... 继续阅读 >
2014
11-07

PHP特点之会话机制2——Session及其使用

会话机制(Session)在PHP中用于保存并发访问中的一些数据。这使可以帮助创建更为人性化的程序,增加站点的吸引力。一个访问者访问你的web网站将被分配一个唯一的id,就是所谓的会话id.这个id可以存储在用户端的一个cookie中,也可以通过URL进行传递.会话支持允许你将请求中的数据保存在超全局数组$_SESSION中.当一个访问者访问你的网站,PHP将自动检查(如果 session.auto_start被设置为1)或者在你要求下... 继续阅读 >
2014
11-07

PHP特点之文件上传1——使用POST方法上传单文件和多文件

本特性可以使用户上传文本和二进制文件。用PHP的认证和文件操作函数,可以完全控制允许哪些人上传以及文件上传后怎样处理。PHP能够接受任何来自符合RFC-1867标准的浏览器(包括 NetscapeNavigator3 及更高版本,打了补丁的 MicrosoftInternetExplorer3 或者更高版本)上传的文件。Note: 相关的设置请参阅 php.ini 的 file_uploads,upload_max_filesize,upload_tmp_dirpost_max_size 以及 max_input_time... 继续阅读 >
2014
11-07

PHP特点之文件上传2——错误信息说明

从PHP4.2.0开始,PHP将随文件信息数组一起返回一个对应的错误代码。该代码可以在文件上传时生成的文件数组中的 error 字段中被找到,也就是 $_FILES['userfile']['error']。UPLOAD_ERR_OK其值为0,没有错误发生,文件上传成功。UPLOAD_ERR_INI_SIZE其值为1,上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。UPLOAD_ERR_FORM_SIZE其值为2,上传文件的大小超过了HTML表单中 MAX_FILE_SIZE ... 继续阅读 >
2014
11-07

PHP特点之文件上传3——常见缺陷

对 MAX_FILE_SIZE 设置的值,不能大于ini设置中 upload_max_filesize 选项设置的值。其默认值为2M字节。如果内存限制设置被激活,可能需要将 memory_limit 设置的更大些,请确认 memory_limit 的设置足够的大。如果 max_execution_time 设置的值太小,脚本运行的时间可能会超过该设置。因此,也请保证 max_execution_time 足够的大。Note: max_execution_time 仅仅只影响脚本本身运行的时间。任何其它花费在... 继续阅读 >
2014
11-07

PHP特点之文件上传4——多文件上传

可以对 input 域使用不同的 name 来上传多个文件。PHP支持同时上传多个文件并将它们的信息自动以数组的形式组织。要完成这项功能,需要在HTML表单中对文件上传域使用和多选框与复选框相同的数组式提交语法。Note:对多文件上传的支持是在PHP3.0.10版本添加的。Example#1上传多个文件<formaction="file-upload.php"method="post"enctype="multipart/form-data">Sendthesefiles:<br/><inputname="user... 继续阅读 >
2014
11-07

PHP特点之使用远程HTTP文件及FTP文件操作

只要在 php.ini 文件中激活了 allow_url_fopen 选项,就可以在大多数需要用文件名作为参数的函数中使用 HTTP 和 FTP 的URL来代替文件名。同时,也可以在 include、include_once、 require 及 require_once 语句中使用URL。PHP所支持协议的更多信息参见支持的协议和封装协议。注意:要在PHP4.0.3及其更早的版本中使用URL封装协议,需要在编译时... 继续阅读 >
2014
11-07

PHP特点之三种连接状态的处理——normal、aborted、timeout

在PHP内部,系统维护着连接状态,其状态有三种可能的情况:0-NORMAL(正常)1-ABORTED(异常退出)2-TIMEOUT(超时)当PHP脚本正常地运行NORMAL状态时,连接为有效。当远程客户端中断连接时,ABORTED状态的标记将会被打开。远程客户端连接的中断通常是由用户点击STOP按钮导致的。当连接时间超过PHP的时限时,TIMEOUT状态的标记将被打开。可以决定脚本是否需要在客户端中断连接时退出。有时候让脚本完整地... 继续阅读 >
2014
11-07

PHP特点之数据库永久连接

永久的数据库连接是指在脚本结束运行时不关闭的连接。当收到一个永久连接的请求时。PHP将检查是否已经存在一个(前面已经开启的)相同的永久连接。如果存在,将直接使用这个连接;如果不存在,则建立一个新的连接。所谓“相同”的连接是指用相同的用户名和密码到相同主机的连接。对web服务器的工作和分布负载没有完全理解的读者可能会错误地理解永久连接的作用。特别的,永久连接不会在相同的连接上提供建立“用户会话”的能力... 继续阅读 >
2014
11-07

PHP特点之安全模式1——保安措施和安全模式

PHP的安全模式是为了试图解决共享服务器(shared-server)安全问题而设立的。在结构上,试图在PHP层上解决这个问题是不合理的,但修改web服务器层和操作系统层显得非常不现实。因此许多人,特别是ISP,目前使用安全模式。以下是php.ini中关于安全模式的设置:safe_mode   boolean是否启用PHP的安全模式。safe_mode_gid   boolean默认情况下,安全模式在打开文件时会做UID比较检查。如果想将其放宽到GID... 继续阅读 >
2014
11-07

PHP特点之安全模式2——被安全模式限制或屏蔽的函数

安全模式限制函数大全dbmopen:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。dbase_open:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。filepro:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。filepro_rowcount:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。filepro_retrieve:检查被操作的文件或目录是否与被执行的脚本有相同的UID... 继续阅读 >
2014
11-07

PHP特点之命令行模式

从版本4.3.0开始,PHP提供了一种新类型的 CLI SAPI(ServerApplicationProgrammingInterface,服务端应用编程端口)支持,名为 CLI,意为 CommandLineInterface,即命令行接口。顾名思义,该 CLI SAPI 模块主要用作PHP的开发外壳应用。CLISAPI 和其它 CLI SAPI 模块相比有很多的不同之处,我们将在本章中详细阐述。值得一提的是,CLI 和 CGI 是不同的SAPI,尽管它们之间有很多共同的行为。CLISAPI 最... 继续阅读 >
2014
11-07

PHP特点之垃圾回收机制1——引用计数的基本知识

每个php变量存在一个叫"zval"的变量容器中。一个zval变量容器,除了包含变量的类型和值,还包括两个字节的额外信息。第一个是"is_ref",是个bool值,用来标识这个变量是否是属于引用集合(referenceset)。通过这个字节,php引擎才能把普通变量和引用变量区分开来,由于php允许用户通过使用&来使用自定义引用,zval变量容器中还有一个内部引用计数机制,来优化内存使用。第二个额外字节是"refcount",用以表示指向这个zval变量容器... 继续阅读 >
2014
11-07

PHP特点之垃圾回收机制2——回收周期

传统上,像以前的php用到的引用计数内存机制,无法处理循环的引用内存泄漏。然而5.3.0PHP使用文章» 引用计数系统中的同步周期回收(ConcurrentCycleCollectioninReferenceCountedSystems)中的同步算法,来处理这个内存泄漏问题。对算法的完全说明有点超出这部分内容的范围,将只介绍其中基础部分。首先,我们先要建立一些基本规则,如果一个引用计数增加,它将继续被使用,当然就不再在垃圾中。如果引用计数减少... 继续阅读 >