Linux教程網 >> Linux編程 >> Linux編程 >> 8個增強 PHP 程序安全的函數

8個增強 PHP 程序安全的函數

日期：2017/3/1 9:37:31 编辑：Linux編程

安全是編程非常重要的一個方面。在任何一種編程語言中，都提供了許多的函數或者模塊來確保程序的安全性。在現代網站應用中，經常要獲取來自世界各地用戶的輸入，但是，我們都知道“永遠不能相信那些用戶輸入的數據”。所以在各種的Web開發語言中，都會提供保證用戶輸入數據安全的函數。今天，我們就來看看，在著名的開源語言PHP中有哪些有用的安全函數。

在PHP中，有些很有用的函數開源非常方便的防止你的網站遭受各種攻擊，例如SQL注入攻擊，XSS（Cross Site Scripting：跨站腳本）攻擊等。一起看看PHP中常用的、可以確保項目安全的函數。注意，這並不是完整的列表，是我覺得對於你的i項目很有的一些函數。

1. mysql_real_escape_string()

這個函數在PHP中防止SQL注入攻擊時非常有用。這個函數會對一些例如單引號、雙引號、反斜槓等特殊字符添加一個反斜槓以確保在查詢這些數據之前，用戶提供的輸入是干淨的。但要注意，你是在連接數據庫的前提下使用這個函數。

但是現在已經不推薦使用mysql_real_escape_string()了，所有新的應用應該使用像PDO一樣的函數庫執行數據庫操作，也就是說，我們可以使用現成的語句防止SQL注入攻擊。

2. addslashes()

這個函數的原理跟mysql_real_escape_string()相似。但是當在php.ini文件中，“magic_quotes_gpc“的值是“on”的時候，就不要使用這個函數。magic_quotes_gpc 的默認值是on，對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes()，因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函數來確定它是否開啟。

3. htmlentities()

這個函數對於過濾用戶輸入的數據非常有用。它會將一些特殊字符轉換為HTML實體。例如，用戶輸入<時，就會被該函數轉化為HTML實體<（&lt），輸入>就被轉為實體&gt.(HTML實體對照表：http://www.w3school.com.cn/html/html_entities.asp)，可以防止XSS和SQL注入攻擊。

4. htmlspecialchars()

在HTML中，一些特定字符有特殊的含義，如果要保持字符原來的含義，就應該轉換為HTML實體。這個函數會返回轉換後的字符串，例如‘&’ (ampersand) 轉為’&amp‘（ps:請參照第三點中的實體對照表鏈接）

ps:此處原文有誤（見評論），在此非常感謝瑾瑜提出。現已更正，另外附上此函數常見的轉換字符：

The translations performed are:

‘&’ (ampersand) becomes ‘&’

‘”‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set.

“‘” (single quote) becomes ‘'’ (or ') only when ENT_QUOTES is set.

‘<’ (less than) becomes ‘<’

‘>’ (greater than) becomes ‘>’

5. strip_tags()

這個函數可以去除字符串中所有的HTML，JavaScript和PHP標簽，當然你也可以通過設置該函數的第二個參數，讓一些特定的標簽出現。

6. md5()

從安全的角度來說，一些開發者在數據庫中存儲簡單的密碼的行為並不值得推薦。md5()函數可以產生給定字符串的32個字符的md5散列，而且這個過程不可逆，即你不能從md5()的結果得到原始字符串。

現在這個函數並不被認為是安全的，因為開源的數據庫可以反向檢查一個散列值的明文。你可以在這裡找到一個MD5散列數據庫列表

7. sha1()

這個函數與md5()類似，但是它使用了不同的算法來產生40個字符的SHA-1散列（md5產生的是32個字符的散列）。也不要把絕對安全寄托在這個函數上，否則會有意想不到的結果。

8. intval()

先別笑，我知道這個函數和安全沒什麼關系。intval()函數是將變量轉成整數類型，你可以用這個函數讓你的PHP代碼更安全，特別是當你在解析id，年齡這樣的數據時。

CentOS 6.3 安裝LNMP (PHP 5.4,MyySQL5.6) http://www.linuxidc.com/Linux/2013-04/82069.htm

在部署LNMP的時候遇到Nginx啟動失敗的2個問題 http://www.linuxidc.com/Linux/2013-03/81120.htm

Ubuntu安裝Nginx php5-fpm MySQL(LNMP環境搭建) http://www.linuxidc.com/Linux/2012-10/72458.htm

《細說PHP》高清掃描PDF+光盤源碼+全套教學視頻 http://www.linuxidc.com/Linux/2014-03/97536.htm

PHP 的詳細介紹：請點這裡
PHP 的下載地址：請點這裡

原文： http://www.pixelstech.net/article/1300722997-Useful-functions-to-provide-secure-PHP-application 作者： Pi Ke
譯文： http://www.ido321.com/1202.html 譯者： dwqs

上一頁:2014年各種編程語言的薪資和市場需求
下一頁:Struts2如何實現頁面分步驟滑動

Linux編程

哪些因素影響Java調用的性能？

Ubuntu 14.04下用GCC及gfortran編寫MEX程序(Matlab2012a)

Python的@符號

md5加密C語言實現

Linux 內核調試5-UML和Qemu調試模塊

Android時間對話框TimePickerDialog介紹

對比 Python 和 Go 語言的每秒請求數

網絡間通信socket傳輸任意格式任意大小的文件

Linux教程網

Linux下配置IP的幾個方法
一、臨時啟用網卡並配置IP：# ifconfig -a /*查看所有網絡適配器，包括未激活的*/

MapReduce程序中的萬能輸入FileInputFormat.addInputPaths

高危禁止！ Linux切勿執行的10個危險命令

Windows下制作Fedora 15 DVD Live USB 離線安裝盤

VMware中Linux內核2.6.14.4編譯全過程

Python 裝飾器學習以及實際使用場景實踐

Ubuntu 安裝 OpenCV 2.4.9

Nginx配置upstream實現負載均衡

SYN Cookie在Linux內核中的實現

相关文章

安全增強措施用Openssh構建安全網絡
最新版Linux核心代碼中發現1008個漏洞
28個Unix/Linux的命令行神器
Linux操作系統的8個經典技巧
8個技巧讓你成為一個超強的Linux終端用戶
歷時8個月的Solus 1.0終於來了
Fedora 24 Linux 環境下實現 Infinality 字體渲染增強及 Java 字體渲染改善的方法，fedorainfinality
構建容器應用的8個最佳實踐
8個技巧讓你成為一個超強的Linux終端用戶
在IBM Network Authentication Service for AIX中增強密碼強度
EMC {code} 計劃又增加新的開源項目，已多達 48 個開源項目，逾35萬行代碼
Linux禁止單用戶模式(single)來增強系統安全
VirtualBox CentOS安裝增強功能與設置共享文件夾
虛擬機Ubuntu server 14.04 安裝 virtualbox 增強包

Linux編程 SHELL編程 PERL編程

文章推荐

热点聚焦

Swift封裝的無限輪播頭視圖

Python 根據pid殺死相應進程

JavaScript閉包函數快速上手

使用Eclipse與jLink V8調試Exynos 4412 u-boot

Android中的跨進程回調

Spring中 FactoryBean和bean

OpenCV基礎篇之像素操作對比度調節

Java代理模式(Proxy)簡介

CS8900移植到Linux2.6.32.2

超過 130 個你需要了解的 Vim 命令