红黑联盟十周年：php安全教程第一节

本系列课程大纲：http://bbs.2cto.com/read.php?tid=231908             

  1.配置安全的php环境

扯淡的话不多说，大家看教程就像看点实际的东西，我也菜，系统有问题，大家指出！

no.1   全局变量

神马是全局变量，具体的概念真他妈的长，我不想看，大家也不想看，顾名思义，在整个php全局中都可以使用的变量。听着就很危险，所以为了咱的站不被人干掉，咱得关闭。一些php的配置文件都在php.ini中指定，各种选项会影响到一个应用程序的安全！（擦，激动了 老打错字！）
这是我的自己架设的php环境  wamp  具体架设的教程网上一大推， 咱就不占教程篇幅了！咱如何关闭它，在php.ini的register_global选项中指定，打英文真是困难啊！关闭的，你要问为啥是关闭的，因为默认是关闭的，默认为啥还要强调这个，因为总有一些sb会打开，为什么会打开，因为有用！那么打开这玩意有啥危害呢！咱先不试，为啥不试试，尼玛我试了你们不实践，学得到什么！

no.2 magic quote
  这又是啥，这个咱就得好好说说了，这跟咱的sql注入攻击有关的，如果激活magic_quote_gpc 那么请求参数中包含的任何' '' / 空字符都被/转义，如果被禁用,那么php中就会使用一个单引号转义所有的的单引号，sql注入的根本是神马，能利用是为啥，是因为用户输入的数据被带入查询，咱如果在这个magic_quote上想点心思 咱不就可以注入一下，当然 如果开启这个不一定能防住所有的sql注入！在哪里开启这个东西呢，我擦，这还问，还是在php.ini里面！

no.3 其他的安全配置选项
 其实php这玩意就是蛋疼，蛋疼的选项多就算了，管理员也爱乱折腾这个！比如吧10年爆出的phpwind的0day 就是因为 allow_url_open这个选项造成的，这个选项是干嘛的呢允许文件函数远程访问的远程文件，allow_url_include 允许包含远程文件，phpwind爆出的那个文件包含漏洞就是这样的！

结束了，教程很简单，需要大家实践实践在实践，教程很模糊，需要大家自己探索，看别人的教程永远收获的没有自己探索的多，玩别人的女人总没自己的女人踏实！