《PHP學(xué)習(xí):PHP里8個鮮為人知的安全函數(shù)分析》要點(diǎn):
本文介紹了PHP學(xué)習(xí):PHP里8個鮮為人知的安全函數(shù)分析,希望對您有用。如果有疑問,可以聯(lián)系我們。
本文實(shí)例講述了PHP里8個鮮為人知的平安函數(shù).分享給大家供大家參考.具體分析如下:PHP編程
平安是編程非常重要的一個方面.在任何一種編程語言中,都提供了許多的函數(shù)或者模塊來確保程序的平安性.在現(xiàn)代網(wǎng)站應(yīng)用中,經(jīng)常要獲取來自世界各地用戶的輸入,但是,我們都知道“永遠(yuǎn)不能相信那些用戶輸入的數(shù)據(jù)”.所以在各種的Web開發(fā)語言中,都會提供保證用戶輸入數(shù)據(jù)平安的函數(shù).這里我們就來看看,在著名的開源語言PHP中有哪些有用的平安函數(shù).PHP編程
在PHP中,有些很有用的函數(shù)開源非常方便的防止你的網(wǎng)站遭受各種攻擊,例如SQL注入攻擊,XSS(Cross Site Scripting:跨站腳本)攻擊等.一起看看PHP中常用的、可以確保項(xiàng)目平安的函數(shù).注意,這并不是完整的列表,是我覺得對于你的i項(xiàng)目很有的一些函數(shù).PHP編程
1. mysql_real_escape_string()PHP編程
這個函數(shù)在PHP中防止SQL注入攻擊時非常有用.這個函數(shù)會對一些例如單引號、雙引號、反斜杠等特殊字符添加一個反斜杠以確保在查詢這些數(shù)據(jù)之前,用戶提供的輸入是干凈的.但要注意,你是在連接數(shù)據(jù)庫的前提下使用這個函數(shù).
但是現(xiàn)在已經(jīng)不推薦使用mysql_real_escape_string()了,所有新的應(yīng)用應(yīng)該使用像PDO一樣的函數(shù)庫執(zhí)行數(shù)據(jù)庫操作,也就是說,我們可以使用現(xiàn)成的語句防止SQL注入攻擊.PHP編程
2. addslashes()PHP編程
這個函數(shù)的原理跟mysql_real_escape_string()相似.但是當(dāng)在php.ini文件中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函數(shù).magic_quotes_gpc 的默認(rèn)值是on,對所有的 GET、POST 和 COOKIE 數(shù)據(jù)自動運(yùn)行 addslashes().不要對已經(jīng)被 magic_quotes_gpc 轉(zhuǎn)義過的字符串使用 addslashes(),因?yàn)檫@樣會導(dǎo)致雙層轉(zhuǎn)義.你可以使用get_magic_quotes_gpc()函數(shù)來確定它是否開啟.PHP編程
3. htmlentities()PHP編程
這個函數(shù)對于過濾用戶輸入的數(shù)據(jù)非常有用.它會將一些特殊字符轉(zhuǎn)換為HTML實(shí)體.例如,用戶輸入<時,就會被該函數(shù)轉(zhuǎn)化為HTML實(shí)體<(<),輸入>就被轉(zhuǎn)為實(shí)體>.PHP編程
4. htmlspecialchars()PHP編程
在HTML中,一些特定字符有特殊的含義,如果要保持字符原來的含義,就應(yīng)該轉(zhuǎn)換為HTML實(shí)體.這個函數(shù)會返回轉(zhuǎn)換后的字符串,例如'&' (ampersand) 轉(zhuǎn)為'&'PHP編程
ps:此處原文有誤,在此非常感謝瑾瑜? 提出.現(xiàn)已更正,另外附上此函數(shù)常見的轉(zhuǎn)換字符:PHP編程
The translations performed are:
?'&' (ampersand) becomes '&'
?'”' (double quote) becomes '"' when ENT_NOQUOTES is not set.
?“'” (single quote) becomes ''' (or ') only when ENT_QUOTES is set.
?'<' (less than) becomes '<'
?'>' (greater than) becomes '>'PHP編程
5. strip_tags()PHP編程
這個函數(shù)可以去除字符串中所有的HTML,JavaScript和PHP標(biāo)簽,當(dāng)然你也可以通過設(shè)置該函數(shù)的第二個參數(shù),讓一些特定的標(biāo)簽出現(xiàn).PHP編程
6. md5()PHP編程
從平安的角度來說,一些開發(fā)者在數(shù)據(jù)庫中存儲簡單的密碼的行為并不值得推薦.md5()函數(shù)可以產(chǎn)生給定字符串的32個字符的md5散列,而且這個過程不可逆,即你不能從md5()的結(jié)果得到原始字符串.
現(xiàn)在這個函數(shù)并不被認(rèn)為是平安的,因?yàn)殚_源的數(shù)據(jù)庫可以反向檢查一個散列值的明文.你可以在這里找到一個MD5散列數(shù)據(jù)庫列表PHP編程
7. sha1()PHP編程
這個函數(shù)與md5()類似,但是它使用了不同的算法來產(chǎn)生40個字符的SHA-1散列(md5產(chǎn)生的是32個字符的散列).也不要把絕對平安寄托在這個函數(shù)上,否則會有意想不到的結(jié)果.PHP編程
8. intval()PHP編程
先別笑,我知道這個函數(shù)和平安沒什么關(guān)系.intval()函數(shù)是將變量轉(zhuǎn)成整數(shù)類型,你可以用這個函數(shù)讓你的PHP代碼更平安,特別是當(dāng)你在解析id,年齡這樣的數(shù)據(jù)時.PHP編程
此處附上英文原文地址:http://www.pixelstech.net/article/1300722997-Useful-functions-to-provide-secure-PHP-applicationPHP編程
希望本文所述對大家的PHP程序設(shè)計(jì)有所贊助.PHP編程
歡迎參與《PHP學(xué)習(xí):PHP里8個鮮為人知的安全函數(shù)分析》討論,分享您的想法,維易PHP學(xué)院為您提供專業(yè)教程。
轉(zhuǎn)載請注明本頁網(wǎng)址:
http://www.fzlkiss.com/jiaocheng/13424.html
