首先,最重要的事情就是要弄清各种变量和用户输入数据。许多你不曾注意的变量本身很可能成为恶意软件程序传播感染的极佳途径。我们可以假设在你的网站上存在一些不是太安全的代码,但却运行正常。攻击者发掘这些漏洞后可以肆无忌惮的在你的网站中进行破坏活动。不要小看这些不起眼的变量名,这些漏洞一旦被黑客利用,其不仅仅是删除文件而且删除整个密码系统或其它敏感信息,最终可能对服务器的正常运转造成巨大的伤害。
网站管理员对所有从外部输入的文件必须检查其内容是否存在恶意代码,同时数据库安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式,这里不做详细阐述,用户如果希望了解数据库安全信息,我会按需求详细介绍。
Magic Quotes
Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开,也可以将NULL字节从用户的输入信息中分开。当开启Magic Quote时的一个问题是你是否希望你的用户进行引号过滤。如果你关闭Magic Quote的话可以在“runtime”中分析到用户输入数据的字符串。
如果你对PHP还不熟悉,我建议你开启这一功能直到你学会了怎么样分析和表现用户输入的数据。我个人建议使用我编写的“清除”功能。我将会给你提供一个模板,这样你就可以自己编写一个清除功能了。
<?php function clean($string) { $string = stripslashes($string); $string = htmlentities($string); $string = strip_tags($string); return $string; } ?> |