PHP安全设置让黑客纠结去吧

建议安装Suhosin补丁，必装安全补丁

Php.Ini安全设置

Register_global = Off

Magic_quotes_gpc = Off

Display_error = Off

Log_error = On

# Allow_url_fopen = Off

Expose_php = Off

Open_basedir =

Safe_mode = On

Disable_function = Exec,System,Passthru,Shell_exec,Escapeshellarg,Escapeshellcmd,Proc_close,Proc_open,Dl,Popen,Show_source,Get_cfg_var

Safe_mode_include_dir =

DB SQL预处理

Mysql_real_escape_string (很多PHPer仍在依靠Addslashes防止SQL注入，但是这种方式对中文编码仍然是有问题的。Addslashes的问题在于黑客可以用 0xbf27来代替单引号，GBK编码中0xbf27不是一个合法字符，因此Addslashes只是将0xbf5c27，成为一个有效的多字节字符，其 中的0xbf5c仍会被看作是单引号，具体见这篇文章)。用Mysql_real_escape_string函数也需要指定正确的字符集，否则依然可能 有问题。

Prepare + Execute(PDO)

ZendFramework可以用DB类的Quote或者QuoteInto, 这两个方法是根据各种数据库实施不用方法的，不会像Mysql_real_escape_string只能用于Mysql

用户输入的处理

无需保留HTML标签的可以用以下方法

Strip_tags, 删除String中所有Html标签

Htmlspecialchars，只对”<”,”>”,”;”,”’”字符进行转义

Htmlentities，对所有Html进行转义

必须保留HTML标签情况下可以考虑以下工具：

HTML Purifier: HTML Purifier Is A Standards-Compliant HTML Filter Library Written In PHP.

PHP HTML Sanitizer: Remove Unsafe Tags And Attributes From HTML Code

HtmLawed: PHP Code To Purify & Filter HTML

上传文件

用Is_uploaded_file和Move_uploaded_file函数，使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传Php脚本。

ZF框架下可以考虑使用File_upload模块

Session，Cookie和Form的安全处理

不要依赖Cookie进行核心验证，重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的Form元素如下:



<Input Type="Hidden" Name="H[Name]" Value="<?Php Echo $Oname?>"/> <Input Type="Hidden" Name="H[Age]" Value="<?Php Echo $Oage?>"/> <?Php $Sign = Md5('Name'.$Oname.'Age'.$Oage.$Secret); ?> <Input Type="Hidden" Name="Hash" Value="<?Php Echo $Sign?>"" /> 　　POST回来之后对参数进行验证

$Str = "";

Foreach(

<# WebPartBody #>POST['H'] As $Key=>$Value) {

$Str .= $Key.$Value;

}

If(

<# WebPartBody #>POST['Hash'] != Md5($Str.$Secret)) {

Echo "Hidden Form Data Modified"; Exit;

}

PHP安全检测工具(XSS和SQL Insertion)

Wapiti - Web Application Security Auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL Injection/XSS攻击检查工具)

安裝/使用方法:

Apt-Get Install Libtidy-0.99-0 Python-Ctypes Python-Utidylib

Python Wapiti.Py Http://Your Website URL/ -M GET_XSS

Pixy: XSS And SQLI Scanner For PHP( Pixy - PHP 源码缺陷分析工具)

安裝: Apt-Get Install Default-Jdk