PHP安全设置一则
2012-10-16 10:17
148 查看
不要为 SQL 语句使用 PDO 参数传值,以防止 SQL injection.
务必使用 htmlspecialchars/htmlentities 和/或者 strip_tags 转义 html 和JavaScript 来防止 XSS(交叉站点脚本) 攻击.
务必使用 sessions 和安全套接字来防止 session 被劫持,采用 md5 校验和来验证 session ids. 在 session 里存储一个特殊的令牌 md5(uniqueid(rand(),time)) 放到一个隐含的表单提交项里:eg. $_SESSION["token"]===$FORM["token"].
务必使用 escapeshellarg/escapeshellcmd 调用外部命令防止命令行注入
务必从进入的http头删除分行符以防止http头提早终止 Do remove linebreaks from incoming headers to prevent early header termination and injection. Fixed >PHP5.1
采用 md5 校验和来序列化参数值和 sessionid来验证一致性
使用 === 来验证输入值以保证类型一致
在任何用户特权提升的应用中,采用 session_regenerate
在商务交易中采用安全套接字
设置以下参数来提高安全性:
ini_set("display_errors",false);
ini_set("log_errors",true);
ini_set("error_log","path/to/php.log");
ini_set("session.save_path","path/above/www"); 或者session放到数据库
php.ini expose_php=off
php.ini register_globals=off
Apache servertokens=prod
务必使用 htmlspecialchars/htmlentities 和/或者 strip_tags 转义 html 和JavaScript 来防止 XSS(交叉站点脚本) 攻击.
务必使用 sessions 和安全套接字来防止 session 被劫持,采用 md5 校验和来验证 session ids. 在 session 里存储一个特殊的令牌 md5(uniqueid(rand(),time)) 放到一个隐含的表单提交项里:eg. $_SESSION["token"]===$FORM["token"].
务必使用 escapeshellarg/escapeshellcmd 调用外部命令防止命令行注入
务必从进入的http头删除分行符以防止http头提早终止 Do remove linebreaks from incoming headers to prevent early header termination and injection. Fixed >PHP5.1
采用 md5 校验和来序列化参数值和 sessionid来验证一致性
使用 === 来验证输入值以保证类型一致
在任何用户特权提升的应用中,采用 session_regenerate
在商务交易中采用安全套接字
设置以下参数来提高安全性:
ini_set("display_errors",false);
ini_set("log_errors",true);
ini_set("error_log","path/to/php.log");
ini_set("session.save_path","path/above/www"); 或者session放到数据库
php.ini expose_php=off
php.ini register_globals=off
Apache servertokens=prod
相关文章推荐
- php open_basedir设置以及关于安全
- DEDECMS安全设置 执行php脚本限制设置方法(iis6+iis7+apache+nginx)
- Apache PHP的安全设置
- 换句话说 SEO优化、HTML、PhotoShop、CSS层叠样式表、ASP、JavaScript、PHP、网络安全,入侵检测,服务器安全设置搞定这些都不在话下
- web安全设置(含IIS,php,ASP.NET)与目录权限设置
- php中几种常见安全设置详解
- PHP配置文件php.ini的常见安全设置
- Windows 2003 安全设置之PHP篇
- 内核参数优化和PHP 安全设置
- 隐藏Apache,PHP版本和相关基本安全设置
- php中几种常见安全设置详解
- nginx + fastcgi php配置下,安全的文件上存路径设置
- 阿里云CentOS6.5(nginx+PHP-fpm)及RDS初级使用指南和简单安全设置
- Nginx+PHP防webshell跨站,跨目录的安全设置,多种方式,适合php5.3以上
- 推荐的nginx+php(fpm-php fastcgi)open_basedir安全设置
- nginx + php-fpm fastcgi防止跨站、跨目录的安全设置
- 内核参数优化和PHP 安全设置
- PHP配置文件php.ini的常见安全设置
- 2008下如何快速安装PHP,并做好安全设置
- linux web php 安全相关设置