继续PHP应用程序安全的探讨,主要一定要注意以下几个方面:
1 过滤SQL注入
可以使用addslashes等PHP内置的直接给出函数,方便使用
function VerifyInput($input)
{
if (!get_magic_quotes_gpc())
{
//magic_quotes_gpc默认是on的,已经会自动转义'号等字符了
$input = addslashes($input);
}
}
而在显示时则用
<? echo htmlentities(stripslashes(....))?>正常显示之
或者干脆就用 mysql_real_escape_string函数过滤,就很方便了
2 要注意判断变量的类型,比如要判断输入的变量是否是整型
if (is_numeric($pid)).........
但还要对长度进行一下限制,最好写一个函数来判断是否是纯数字,比如
if (strlen($pid)){
if (!ereg("^[0-9]+$",$pid) && strlen($pid) > 5){
给出一个例子
....................
/**
* 检测 $val 是否为纯数字
* @param $val 用户输入的值
* @param $stuff 为 true 时 $val 必须填写, 为 false 时 $val 不是必须要填写的
* @param $mixLen 为数值时,表示 $val 的值必须达到 $mixLen 的长度, 如不须检测填 -1 即可
* @param $maxLen 为数值时,表示 $val 的值必须小于 $maxLen 的长度, 如不须检测埴一大数值即可
* @return $val 格式合法则返回 true, 否则返回 false
*/
function checkNumberOnly($val, $stuff, $mixLen, $maxLen)
{
if($stuff == true)
{
if($val == "")
return false;
if(strlen($val) < $mixLen || strlen($val) > $maxLen)
return false;
if(!eregi("^[0-9]+$", $val))
return false;
}
else if($stuff == false)
{
if($val != "")
{
if(strlen($val) < $mixLen || strlen($val) > $maxLen)
return false;
if(!eregi("^[0-9]+$", $val))
return false;
}
}
return true;
}
3 清除用户输入的HTML标记,如果确定用户不需要输入HTML标记的话,则要过滤掉,比如
$name = strip_tags($_POST['name']);
用strip_tags清除HTML标记
再判断是否符合字母,数字的规则
$name = cleanHex($name);
function cleanHex($input){
$clean = preg_replace\
("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
return $clean;
}
如果要完整还原用户输入的HTML标记的话,可以用htmlspecialchars() 实现
4 防止远程表单提交
防止用户将表单页面保留下来,再去修改提交,可以使用token令牌验证的方法,如
<?php
session_start();
if ($_POST['submit'] == "go"){
if ($_POST['token'] == $_SESSION['token']){
$name = strip_tags($_POST['name']);
}else{
}
}
$token = md5(uniqid(rand(), true));
$_SESSION['token']= $token;
?>
<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">
<p><label for="name">Name</label>
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
<input type="hidden" name="token" value="<?php echo $token;?>"/>
<p><input type="submit" name="submit" value="go"/></p>
</form>
