- php.ini 中的 display_errors 選項,應該設爲 display_errors = off。這樣 php 腳本出錯之後,不會在 web 頁面輸出錯誤,以免讓***者分析出有作的信息。
- 調用 mysql_query 等 mysql 函數時,前面應該加上 @,即 @mysql_query(...),這樣 mysql 錯誤不會被輸出。同理以免讓***者分析出有用的信息。另外,有些程序員在做開發時,當 mysql_query出錯時,習慣輸出錯誤以及 sql 語句,例如:
$t_strSQL = "SELECT a from b...."; if ( mysql_query($t_strSQL) ) { // 正確的處理 } else { echo "錯誤! SQL 語句:$t_strSQL \r\n錯誤信息".mysql_query(); exit; }
這種做法是相當危險和愚蠢的。如果一定要這麼做,最好在網站的配置文件中,設一個全局變量或定義一個宏,設一下 debug 標誌:
全局配置文件中: define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE //調用腳本中: $t_strSQL = "SELECT a from b...."; if ( mysql_query($t_strSQL) ) { // 正確的處理 } else { if (DEBUG_MODE) echo "錯誤! SQL 語句:$t_strSQL \r\n錯誤信息".mysql_query(); exit; }
- 對提交的 sql 語句,進行轉義和類型檢查。
四. 我寫的一個安全參數獲取函數
爲了防止用戶的錯誤數據和 php + mysql 注入 ,我寫了一個函數 PAPI_GetSafeParam(),用來獲取安全的參數值:
define("XH_PARAM_INT",0); define("XH_PARAM_TXT",1); function PAPI_GetSafeParam($pi_strName, $pi_Def = "", $pi_iType = XH_PARAM_TXT) { if ( isset($_GET[$pi_strName]) ) $t_Val = trim($_GET[$pi_strName]); else if ( isset($_POST[$pi_strName])) $t_Val = trim($_POST[$pi_strName]); else return $pi_Def; // INT if ( XH_PARAM_INT == $pi_iType) { if (is_numeric($t_Val)) return $t_Val; else return $pi_Def; } // String $t_Val = str_replace("&", "&",$t_Val); $t_Val = str_replace("<", "<",$t_Val); $t_Val = str_replace(">", ">",$t_Val); if ( get_magic_quotes_gpc() ) { $t_Val = str_replace("\\\"", """,$t_Val); $t_Val = str_replace("\\''", "'",$t_Val); } else { $t_Val = str_replace("\"", """,$t_Val); $t_Val = str_replace("'", "'",$t_Val); } return $t_Val; }
在這個函數中,有三個參數:
$pi_strName: 變量名 $pi_Def: 默認值 $pi_iType: 數據類型。取值爲 XH_PARAM_INT, XH_PARAM_TXT, 分別表示數值型和文本型。
如果請求是數值型,那麼調用 is_numeric() 判斷是否爲數值。如果不是,則返回程序指定的默認值。
簡單起見,對於文本串,我將用戶輸入的所有危險字符(包括HTML代碼),全部轉義。由於 php 函數 addslashes()存在漏洞,我用 str_replace()直接替換。get_magic_quotes_gpc() 函數是 php 的函數,用來判斷 magic_quotes_gpc 選項是否打開。
剛纔第二節的示例,代碼可以這樣調用:
<? if ( isset($_POST["f_login"] ) ) { // 連接數據庫... // ...代碼略... // 檢查用戶是否存在 $t_strUid = PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT); $t_strPwd = PAPI_GetSafeParam("f_pwd", "", XH_PARAM_TXT); $t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1"; if ( $t_hRes = mysql_query($t_strSQL) ) { // 成功查詢之後的處理. 略... } } ?>
這樣的話,就已經相當安全了。PAPI_GetSafeParam的代碼有點長,但犧牲這點效率,對保證安全,是值得的。希望大家多批評指正。:)