我应该在 PHP 中注意哪些安全问题

Question

我刚开始学习 PHP，我已经在 ASP.Net 中开发 Web 应用程序很长时间了。我想知道是否有任何我应该注意的特定于 PHP 的安全错误。

那么，我的问题是每个 PHP 开发人员都应该知道的最重要的安全提示是什么？

请为每个答案保留一个提示，以便人们可以有效地投票赞成/反对。

Answer 1

（排名不分先后）

1. 始终检查register globals 是否处于关闭状态
2. 始终检查magic quotes 是否关闭
3. 确保你理解SQL injection attacks
4. 在生产中关闭error reporting

编辑：对于那里的“新手”来说，这是一个基本的原因（因为我有时间解释这一点）：

1. 注册全局变量是一种异常。这是有史以来的终极安全漏洞。例如，如果 register_globals 打开，则 url http://www.yourdomain.com/foo.php?isAdmin=1 将声明 $isAdmin 为全局变量，无需任何代码。我不知道为什么这个“功能”会成为 PHP 的方式，但是 这背后的人应该在他们的额头上纹上以下纹身：“我发明了 PHP Register Globals”，这样我们就可以像害虫一样逃离它们了看看他们！

2. 魔术引号是另一个愚蠢的想法，它已经成为 PHP 的方式。基本上，当 ON PHP 将自动转义引号（'成为\'和“成为\”）以帮助进行 SQL 注入攻击。这个概念还不错（有助于避免注入攻击），但是转义 all GET、POST 和 COOKIE 值会使您的代码非常复杂（例如，每次显示和数据时都必须取消转义）。另外，如果有一天您关闭此设置而不对您的代码进行任何更改，那么您的所有代码和/或数据都会被破坏并且（甚至更）容易受到注入攻击（是的，即使您很容易受到攻击）。

3. 您的数据库数据是您网站上最有价值的东西。您不希望人们惹恼它，因此请保护好自己并阅读有关它的内容并牢记这一点。

4. 同样，这可能会导致安全问题。错误消息可以为黑客提供有关您的代码如何工作的提示。此外，这些消息对您的访问者没有任何意义，那么为什么要显示它们呢？

Answer 2

避免使用register_globals。

警告：此功能自 PHP 5.3.0 起已弃用，自 PHP 5.4.0 起已移除。

Answer 3

• 跨站脚本 (XSS) Wiki, Google
• 跨站点请求伪造（XSRF/CSRF）Wiki，Google（感谢 Rook）
  • 会话固定Wiki, Google
• SQL 注入 (SQLi) Wiki, Google
• 在生产环境中关闭错误消息
• 将所有“包含”代码保存在 Web 无法访问的目录中（拒绝访问或将其保存在 Web 根目录之外）
• 这是我写的一篇关于 storing passwords in a secure way 的文章，如果您不相信我的话，请查看底部的链接。
• 在我的文章中也有链接，但这里有单独的链接，是麻省理工学院发表的一篇论文。叫The DOs and DON'Ts of Client Authentication on the Web ^[PDF]。虽然它的一些信息（例如，建议使用 MD5 散列）有些过时，仅仅是因为我们现在知道的与当时我们知道的相比，但总体原则非常强大，应该加以考虑。
• Rooks 的一个链接让我想起了另一组重要的限制
  • 关闭 Register Globals（这是现在的默认设置，所以我之前没有提到它）
  • 在处理文件上传时，请务必使用is_uploaded_file() 来验证文件是否已上传，并使用move_uploaded_file() 而不是copy() 或rename()。
    • 如果您需要知道原因（并且您确实知道），请阅读 this section of the PHP Manual。
• 既然我现在已经提到过他两次，请查看Rooks's Answer (https://stackoverflow.com/questions/2275771/what-are-the-most-important-safety-precautions-that-a-php-developer-needs-to-know#2275788)，因为它包含一个文档链接，其中包含有关最重要的安全问题的（非 PHP 特定）信息（因此可能是正确的答案）。

Answer 4

这里是良好 PHP 安全编程实践的链接。

http://phpsec.org/

大多数安全问题都围绕着用户输入（自然而然），并确保他们不会把你搞砸。始终确保验证您的输入。

http://htmlfixit.com/cgi-tutes/tutorial_PHP_Security_Issues.php

Answer 5

1. 始终清理和验证从页面传递的数据
2. 结合 #1，始终正确地转义您的输出
3. 在生产环境中始终关闭 display_errors
4. 如果使用 DB 后端，请使用支持/模拟预准备语句的驱动程序，并且不带偏见地使用 :-)

Answer 6

不要使用“注册全局变量”并过滤用户输入以进行 xss 和注入

Answer 7

语言与程序员。您可以编写最严重的漏洞，并且不会收到警告或错误消息。漏洞可以像在代码中添加或删除 2 个字符一样简单。有数百种不同类型的漏洞会影响 PHP 应用程序。大多数人会想到 XSS 和 Sql 注入，因为它们是最流行的。

阅读OWASP top 10。

Answer 8

如果您使用的是 mysql 数据库，请确保在向数据库发送数据时调用 mysql_real_escape_string

Answer 9

有很多安全预防措施。我可以推荐一本书 Chris Shiflett：PHP 和 Web 应用程序安全。

http://phpsecurity.org/

Answer 10

查看Suhosin Hardening Patch，并查看security vulnerabilities that it addresses。

Answer 11

PHPSec Guide 提供了很好的概述。

Answer 12

与 PHP 相关的大多数安全问题都来自使用未解析的“外部”(GET/POST/COOKIE) 变量。人们将这种数据直接放入文件路径或sql查询中，导致文件泄漏或sql注入。

Answer 13

OWASP 提供了对当今应用程序中最大问题的安全问题的深入了解。很高兴看到他们有一个 PHP 专用页面可用

http://www.owasp.org/index.php/PHP_Top_5

Answer 14

1. 始终关闭 SQL 连接。
2. 始终发布 SQL 结果。
3. 始终清理您放入数据库的所有变量。
4. 从 sql 中删除或删除时使用限制 1 以防万一。
5. 在开发时，请确保您已锁定事物以防止不受欢迎的事物进入。如果它打开并且您知道现在不要加载该页面，因为它可能会破坏某些内容，但这并不意味着其他人会这样做。
6. 切勿使用 Admin 或 Root 作为您的服务器登录名。

Answer 15

尽可能使用准备好的语句（tutorial。在处理用户输入时几乎是必须的（我说“几乎”是因为在一些用例中它们不起作用），甚至在不处理时也是如此输入，它们让你养成习惯。更不用说它们可以带来更好的性能，而且一旦你开始做事情，它们比零敲碎打要容易得多。

Answer 16

通常介绍性教程根本不讨论检查用户数据。像所有编程环境一样，永远不要相信您从用户那里获得的数据。学习使用is_numeric()、isset() 和mysql_real_escape_string() 等功能来保护您的系统。

还有一些功能可以让您访问远程文件和其他有创意的东西。在您充分了解它们的工作方式和时间之前，我会避免使用它们（出于安全原因，它们通常被禁用）。

Answer 17

使用 POST 方法将数据从一个页面传递到另一个页面。

在获取trim($_POST) 之类的数据时使用修剪。 此外，在传递到查询之前，请使用 strip_tags 作为变量。

我建议你使用任何框架链接 Codeigniter、Laravel、YII、Cake PHP，因为它们为所有证券提供了框架

我建议将 Codeigniter 用于小型项目，将 Laravel 用于大型项目。

Answer 18

对重要数据始终使用 POST 而不是 GET...