很多 PHP 程序所存在的重大弱点并不是 PHP 语言本身的问题，而是编程者的安全意识不高而导致的。因此，必须时时注意每一段代码可能存在的问题，去发现非正确数据提交时可能造成的影响。

Example #1 危险的变量用法

<?php
    // 从用户目录中删除一个文件，或者……能删除更多的东西？
    unlink ($evil_var);

   // 记录用户的登陆，或者……能否在 /etc/passwd 添加数据？
   fwrite ($fp, $evil_var);

    // 执行一些普通的命令，或者……可以执行 rm -rf * ？
    system ($evil_var);
    exec ($evil_var);
?>

必须时常留意你的代码，以确保每一个从客户端提交的变量都经过适当的检查，然后问自己以下一些问题：

• 此脚本是否只能影响所预期的文件？
• 非正常的数据被提交后能否产生作用？
• 此脚本能用于计划外的用途吗？
• 此脚本能否和其它脚本结合起来做坏事？
• 是否所有的事务都被充分记录了？

在写代码的时候问自己这些问题，否则以后可能要为了增加安全性而重写代码了。注意了这些问题的话，也许还不完全能保证系统的安全，但是至少可以提高安全性。

还可以考虑关闭 register_globals，magic_quotes 或者其它使编程更方便但会使某个变量的合法性，来源和其值被搞乱的设置。在开发时，可以使用 error_reporting(E_ALL) 模式帮助检查变量使用前是否有被检查或被初始化，这样就可以防止某些非正常的数据的挠乱了。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• PHP7安装zip扩展怎么做，哪些操作要注意的

  本篇文章给大家介绍一下Centos7下php7安装zip扩展的方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。

• 如何理解PHP类的属性，属性声明和初始化怎样做？

  类的变量成员叫做“属性”，或者叫“字段”、“特征”，在本文档统一称为“属性”。属性声明是由关键字 public，protected 或者 private 开头，然后跟一个普通的变量声...

• 如何解释PHP数组是什么，怎样应用呢？

  PHP中的数组实际上是一个有序映射。映射是一种把values关联到keys的类型。此类型在很多方面做了优化，因此可以把它当成真正的数组，或列表（向量），散列表（是映射的...

• Laravel框架下jwt多表验证隔离的意义是什么，怎么做

  这篇文章主要介绍了Laravel jwt 多表（多用户端）验证隔离的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

• PHP中的进程是以什么方式实现的，进程间通信怎样做呢

  php中的进程是以扩展的形式来完成。通过这些扩展，我们能够很轻松的完成进程的一系列动作。下文有实例供大家参考，对大家了解操作过程或相关知识有一定的帮助，而且实用性强，希望这篇文章能帮助大家，下面我们一起来了解看看吧