關於防止黑客獲取PHP郵箱信息,我們可以用下面這四種方法:
1 關閉PHP版本信息在http頭中的泄漏
我們爲了防止黑客獲取服務器中php版本的信息,可以關閉該信息斜路在http頭中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的時候,那麼將無法看到PHP的信息。
2 關閉註冊全局變量
在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動註冊爲全局變量,能夠直接訪問,
這是對服務器非常不安全的,所以我們不能讓它註冊爲全局變量,就把註冊全局變量選項關閉:
register_globals = Off
當然,如果這樣設置了,那麼獲取對應變量的時候就要採用合理方式,比如獲取GET提交的變量var,
那麼就要用$_GET['var']來進行獲取
3 打開magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題,小則網站後臺被入侵,重則整個服務器淪陷,
所以一定要小心。php.ini中有一個設置:
magic_quotes_gpc = Off
這個默認是關閉的,如果它打開後將自動把用戶提交對sql的查詢進行轉換,
比如把 ' 轉爲 \'等,這對防止sql注射有重大作用。所以我們推薦設置爲:
magic_quotes_gpc = On
4錯誤信息控制
一般php在沒有連接到數據庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客後,是不安全的,所以一般服務器建議禁止錯誤提示:
display_errors = Off
如果你卻是是要顯示錯誤信息,一定要設置顯示錯誤的級別,比如只顯示警告以上的信息:
error_reporting = E_WARNING & E_ERROR