PHP 应用程序的安全 -- 不能违反的四条安全规则

2024-05-04 22:14:26

字体：大中小

来源：转载

供稿：网友

大家都知道安全性是重要的，但是行业中的趋势是直到最后一刻才添加安全性。既然不可能完全保护 Web 应用程序，那么为什么要费这个劲儿呢，不是吗？不对。只需采用一些简单的步骤就能够大大提高 PHP Web 应用程序的安全性。

开始之前

在本教程中，您将学习如何在自己的 PHP Web 应用程序中添加安全性。本教程假设您至少有一年编写 PHP Web 应用程序的经验，所以这里不涉及 PHP 语言的基本知识（约定或语法）。目标是使您了解应该如何保护自己构建的 Web 应用程序。

目标
本教程讲解如何防御最常见的安全威胁：SQL 注入、操纵 GET 和 POST 变量、缓冲区溢出攻击、跨站点脚本攻击、浏览器内的数据操纵和远程表单提交。

前提条件
本教程是为至少有一年编程经验的 PHP 开发人员编写的。您应该了解 PHP 的语法和约定；这里不解释这些内容。有使用其他语言（比如 Ruby、Python 和 Perl）的经验的开发人员也能够从本教程中受益，因为这里讨论的许多规则也适用于其他语言和环境。

系统需求

需要一个正在运行 PHP V4 或 V5 和 MySQL 的环境。可以使用 Linux、OS X 或 Microsoft Windows。如果是在 Windows 上，那么下载 WAMPServer 二进制文件，在机器上安装 Apache、MySQL 和 PHP。

安全性快速简介
Web 应用程序最重要的部分是什么？根据回答问题的人不同，对这个问题的答案可能是五花八门。业务人员需要可靠性和可伸缩性。IT 支持团队需要健壮的可维护的代码。最终用户需要漂亮的用户界面和执行任务时的高性能。但是，如果回答 “安全性”，那么每个人都会同意这对 Web 应用程序很重要。

但是，大多数讨论到此就打住了。尽管安全性在项目的检查表中，但是往往到了项目交付之前才开始考虑解决安全性问题。采用这种方式的 Web 应用程序项目的数量多得惊人。开发人员工作几个月，只在最后才添加安全特性，从而让 Web 应用程序能够向公众开放。

结果往往是一片混乱，甚至需要返工，因为代码已经经过检验、单元测试并集成为更大的框架，之后才在其中添加安全特性。添加安全性之后，主要组件可能会停止工作。安全性的集成使得原本顺畅（但不安全）的过程增加额外负担或步骤。

本教程提供一种将安全性集成到 PHP Web 应用程序中的好方法。它讨论几个一般性安全主题，然后深入讨论主要的安全漏洞以及如何堵住它们。在学完本教程之后，您会对安全性有更好的理解。

上一篇：怎样才能成为PHP高手？学会“懒惰”的编程

下一篇：专为新手写的结合smarty的类第1/3页