duanliang8464 2012-02-13 13:16
浏览 8
已采纳

PHP安全信息?

Let's say I have a website where

  • PHP 5.3 is installed
  • every output is htmlspecialchars()ed.
  • PDO and prepared statements are the only way to interact with the database
  • error_reporting() is off
  • every request is passed to index.php (front controller) and no direct file access is allowed except for index.php via .htaccess
  • every input is properly escaped (why should I? i use Prepared statements, how could an user input mess up with my code?)
  • there's no use of evil()

Is it considered safe? What other things could be fixed to improve security? How could you attack it? Hack it? PHP/Server side is possible to improve security?

  • 写回答

7条回答 默认 最新

  • douhuantui6259 2012-02-13 13:21
    关注

    Check this page : PHP Security Guide. Most attacks are documented. If after implementing these security checks, you're still hacked, there are high chances that the problem doesn't come from your PHP application.

    By the way, as @Jacco stated, there is some wrong stuff on the article I linked to.

    1. Use prepared statements instead of mysql_real_escape_string(), but you already did that.
    2. About salting, follow this answer instead : https://stackoverflow.com/a/401684/851498
    3. Finally, checking ['type'] (for file upload) is unsafe since a malicious user can change this value. Instead, see the suggested solution of this link : http://www.acunetix.com/websitesecurity/upload-forms-threat.htm
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(6条)

报告相同问题?

  • PHP安全信息 php
    2012-02-13 13:16
    回答 7 已采纳 Check this page : PHP Security Guide. Most attacks are documented. If after implementing these sec
  • 学习网络安全需要学习PHP环境搭建吗? php 学习方法 网络安全
    2022-10-26 20:33
    回答 1 已采纳 网络安全的话,是不是很多都是C或者C++等等啊,php这种应用开发语言似乎用得不多吧。不知道你学习的网络安全包含哪些内容?
  • 这个PHP功能安全吗? php
    2015-09-08 11:25
    回答 1 已采纳 You shouldn't use eval for that. Instead simply call you function like that $functionName($field
  • 网络安全-php安全知识点
    2020-10-09 17:26
    lady_killer9的博客 安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不...
  • 从用户数据安全角度 Java和Php哪个好? php
    2023-03-06 15:04
    回答 1 已采纳 Java和PHP都存在安全漏洞 ,但java稍微好一点
  • php中这样做是否安全 html php
    2017-08-15 13:48
    回答 2 已采纳 I think the way of using this $logged_in variable is too loose. I suggest to make use of sessions
  • PHP表单名称安全漏洞? php
    2014-01-28 12:18
    回答 2 已采纳 Such a general practice is called "whitelisting". You are positively right about this vulnerabil
  • PHP网站常见一些安全漏洞及防御方法
    2022-05-11 17:22
    知白守黑V的博客 一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session...
  • web的easy php练习 php web安全
    2022-10-30 22:39
    回答 2 已采纳
  • PHP的PREG正则匹配 php web安全 有问必答
    2023-03-07 20:59
    回答 2 已采纳 先匹配整个串,执行一次替换,然后.*又可以匹配空字符串,又替换了一次,所以就是okok。下面是js的替换过程 第二个问题可以参考下面的文章,说得比较详细https://blog.csdn.net/gi
  • PHP登录系统。 安全 php
    2012-08-09 10:18
    回答 3 已采纳 If you're going for a multi user setup, you should migrate from a plain text file, and use a datab
  • web安全php基础_搭建php环境
    2023-07-03 23:41
    Qayrup的博客 然后网站好了,就可以新建项目,打开phpstorm,然后点击new project新建项目,然后再在刚刚打开的站点添加/phpinfo.php,看到如下页面,即我们的php环境搭建完成。然后在location栏里选择项目路径,就是刚刚我们创建...
  • PHP:这个过期链接足够安全吗? php
    2016-10-27 06:35
    回答 1 已采纳 It's better include timestamp in link, and embed authentication code using HMAC-SHA512/HMAC-SHA256
  • PHP 安全编码总结笔记
    2020-03-15 11:07
    微软技术分享的博客 代码中的 HTTP_X_FORWARDED_FOR 地址可以被伪造,而REMOTE_ADDR则相对更安全,有些应用程序会将对方IP地址带入数据库查询是否存在,例如同一个IP每天只能注册一个账号等,如果目标代码中使用的是 ...
  • PHP安全 [安全编码]
    2021-05-26 08:32
    carefree798的博客 总则: 绝对安全的系统是不存在的。最好的安全机制应该能在不防碍用户,并且不过多地增加开发难度的情况下做到能满足需求。...php //从用户目录中删除指定的文件 $username = $_POST['user_submitted_name']; $us.
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥20 测距传感器数据手册i2c
  • ¥15 RPA正常跑,cmd输入cookies跑不出来
  • ¥15 求帮我调试一下freefem代码
  • ¥15 matlab代码解决,怎么运行
  • ¥15 R语言Rstudio突然无法启动
  • ¥15 关于#matlab#的问题:提取2个图像的变量作为另外一个图像像元的移动量,计算新的位置创建新的图像并提取第二个图像的变量到新的图像
  • ¥15 改算法,照着压缩包里边,参考其他代码封装的格式 写到main函数里
  • ¥15 用windows做服务的同志有吗
  • ¥60 求一个简单的网页(标签-安全|关键词-上传)
  • ¥35 lstm时间序列共享单车预测,loss值优化,参数优化算法