PHP安全基础详解.pdf

《《PHP 安全基础安全基础详解详解》》 《《 安全基础安全基础详解详解》》 第一章第一章 简介简介 第一章第一章 简介简介 PHP 已经由一个制作个人网页的工具发展成为了世界上最流行的网络编程 语言。它保证了许多网络上最繁忙的站点的运行。这一转变带来了亟待关注的问 题，那就是性能、可维护性、可测性、可靠性以及最重要的一点—安全性。 与语言的一些功能如条件表达式、循环结构等相比，安全性更为抽象。事实 上，安全性更像是开发者的特性而不是语言的特性。任何语言都不能防止不安全 的代码，尽管语言的有些特点能对有安全意识的开发人员有作用。 本书着眼于PHP 语言，向您展示如何通过操纵PHP 一些特殊的功能写出安 全的代码。本书中的概念，适用于任何网络开发平台。网络应用程序的安全是一 门年轻的和发展中的学科。本书会从理论出发，教会您一些好的习惯，使您能安 枕无忧，从容应对恶意者层出不穷的新的攻击和技巧。 本章是本书的基础部分。作为学习后续章节的前提，将教给您一些原则和经 验。 1.1.PHP 功能功能 功能功能 PHP 有许多适合于WEB 开发的功能。一些在其它语言中很难实现的普通工 作在PHP 中变得易如反掌，这有好处也有坏处。有一个功能比其它功能来更引 人注目，这个功能就是register_globals 。 1.1.1. 全局变量注册全局变量注册 全局变量注册全局变量注册 如果您还能记起早期WEB 应用开发中使用C 开发CGI 程序的话，一定会 对繁琐的表单处理深有体会。当PHP 的register_globals 配置选项打开时，复杂 的原始表单处理不复存在，公用变量会自动建立。它让PHP 编程变得容易和方 便，但同时也带来了安全隐患。 事实上，register_globals 是无辜的，它并不会产生漏洞，同时还要开发者犯 错才行。可是，有两个主要原因导致了您必须在开发和布署应用时关闭 register_globals ： 第一，它会增加安全漏洞的数量； 第二，隐藏了数据的来源，与开发者需要随时跟踪数据的责任相违背。 本书中所有例子都假定register_globals 已被关闭，用超级公用数组如$_GET 和 $_POST 取而代之。使用这些数组几乎与register_globals 开启时的编程方法同 样方便，而其中的些许不便是值得的，因为它提高了程序的安全性。 小提示 如果您必须要开发一个在register_globals 开启的环境中布署的应用时，很重 要的一点是您必须要初始化所有变量并且把error_reporting 设为 E_ALL(或 E_ALL | E_STRICT 以对未初始化变量进行警告。当register_globals 开启时，任 何使用未初始化变量的行为几乎就意味着安全漏洞。 1.1.2. 错误报告错误报告 错误报告错误报告 没有不会犯错的开发者，PHP 的错误报告功能将协助您确认和定位这些错 误。可以PHP 提供的这些详细描述也可能被恶意攻击者看到，这就不妙了。使 大众看