不可不知的 PHP 安全技巧
阿恆
IBM developerWorks 刊登了一篇由 Thomas Myer 所寫,有關 PHP 安全技巧的指導。
有幾項簡單的安全性原則是每一個 PHP 程式員都應該遵守的:
- 永遠不信任外來的資料
- 確保一些 PHP 設定例如 register_globals、display_errors 等已經關掉
- 寫簡潔清晰的原始碼,使保安漏洞更容易被檢查出來
- 把「深度防禦」列為你的座右銘
從客戶端送進來的資料,有六種最常見的攻擊方式:
- SQL 注入攻擊 (SQL injection attack)
- 操縱 GET 變量的值 (manipulating GET variables)
- 緩衝器溢位攻擊 (buffer overflow attack)
- 交叉資料站腳本攻擊 (cross-site scripting)
- 操縱瀏覽器內的資料 (manipulating data inside the browser)
- 遠程表格遞交 (remote form posting)
作者詳細解釋每一種攻擊,列舉沒有防禦及實施防禦後的例子,對於初學者有很大的啟發性,若果文章對高階的主題如檔案注入攻擊等加以解釋,便更加完美了。