增強PHP程序安全的函數
安全是編程非常重要的一個方面。在任何一種編程語言中,都提供了許多的函數或者模塊來確保程序的安全性。在現代網站應用中,經常要獲取來自世界各地用户的輸入,但是,我們都知道“永遠不能相信那些用户輸入的數據”。所以在各種的Web開發語言中,都會提供保證用户輸入數據安全的函數。以下僅供參考!
在PHP中,有些很有用的函數開源非常方便的防止你的網站遭受各種攻擊,例如SQL注入攻擊,XSS(Cross Site Scripting:跨站腳本)攻擊等。一起看看PHP中常用的、可以確保項目安全的函數。注意,這並不是完整的列表,是我覺得對於你的i項目很有的一些函數。
1. mysql_real_escape_string()
這個函數在PHP中防止SQL注入攻擊時非常有用。這個函數會對一些例如單引號、雙引號、反斜槓等特殊字符添加一個反斜槓以確保在查詢這些數據之前,用户提供的輸入是乾淨的。但要注意,你是在連接數據庫的前提下使用這個函數。
但是現在已經不推薦使用mysql_real_escape_string()了,所有新的應用應該使用像PDO一樣的函數庫執行數據庫操作,也就是説,我們可以使用現成的語句防止SQL注入攻擊。
2. addslashes()
這個函數的原理跟mysql_real_escape_string()相似。但是當在文件中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函數。magic_quotes_gpc 的默認值是on,對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函數來確定它是否開啟。
3. htmlentities()
這個函數對於過濾用户輸入的數據非常有用。它會將一些特殊字符轉換為HTML實體。例如,用户輸入<時,就會被該函數轉化為HTML實體<(<),輸入>就被轉為實體>.(HTML實體對照表:_),可以防止XSS和SQL注入攻擊。
4. htmlspecialchars()
在HTML中,一些特定字符有特殊的含義,如果要保持字符原來的含義,就應該轉換為HTML實體。這個函數會返回轉換後的字符串,例如‘&’ (ampersand) 轉為’&‘(ps:請參照第三點中的實體對照表鏈接)
ps:此處原文有誤(見評論),在此非常感謝瑾瑜提出。現已更正,另外附上此函數常見的轉換字符:
The translations performed are:
‘&’ (ampersand) becomes ‘&’
‘”‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set.
“‘” (single quote) becomes ‘'’ (or ') only when ENT_QUOTES is set.
‘<’ (less than) becomes ‘<’
‘>’ (greater than) becomes ‘>’
5. strip_tags()
這個函數可以去除字符串中所有的HTML,JavaScript和PHP標籤,當然你也可以通過設置該函數的.第二個參數,讓一些特定的標籤出現。
6. md5()
從安全的角度來説,一些開發者在數據庫中存儲簡單的密碼的行為並不值得推薦。md5()函數可以產生給定字符串的32個字符的md5散列,而且這個過程不可逆,即你不能從md5()的結果得到原始字符串。
現在這個函數並不被認為是安全的,因為開源的數據庫可以反向檢查一個散列值的明文。你可以在這裏找到一個MD5散列數據庫列表
7. sha1()
這個函數與md5()類似,但是它使用了不同的算法來產生40個字符的SHA-1散列(md5產生的是32個字符的散列)。也不要把絕對安全寄託在這個函數上,否則會有意想不到的結果。
8. intval()
先別笑,我知道這個函數和安全沒什麼關係。intval()函數是將變量轉成整數類型,你可以用這個函數讓你的PHP代碼更安全,特別是當你在解析id,年齡這樣的數據時。
-
PHP開發的安全問題
p給了開發者極大的靈活性,但是這也為安全問題帶來了潛在的隱患,下面是小編分享的PHP開發的安全問題,一起來看一下吧。安全保護一般性要點不相信表單對於一般的Javascript前台驗證,由於無法得知用户的行為,例如關閉了瀏覽器的javascript引擎,這樣通過POST惡意數據到服...
-
php二維數組相同鍵名相加實例
導語:在php二維數組雷同鍵名相加,你寫嗎?下面的是本站小編為大家蒐集的php二維數組相同鍵名相加實例,希望對你會有所幫助。Array([uid]=>19[pid]=>Array([0]=>91[1]=>81)[price]=>Array([0]=>6[1]=>14)[pnum]=>Array([0]=>1[1]=>1))求相同鍵名的值相加如(price的相...
-
php怎麼生成隨機密碼
使用PHP開發應用程序,尤其是網站程序,常常需要生成隨機密碼,如用户註冊生成隨機密碼,用户重置密碼也需要生成一個隨機的密碼。隨機密碼也就是一串固定長度的字符串,下面小編收集整理了幾種生成隨機字符串的'方法,以供大家參考。方法一:1、在33–126中生成一個隨機整...
-
最實用的PHP函數10個
以下是本站小編搜索整理的關於最實用的PHP函數10個,供參考借鑑,希望對大家有所幫助!想了解更多相關信息請持續關注我們應屆畢業生考試網!1.sys_getloadavg()sys_getloadavt()可以獲得系統負載情況。該函數返回一個包含三個元素的數組,每個元素分別代表系統再過去...