?

看之前牢記一句老話：一切用戶輸入的都是不安全的。

1 不要依賴于服務(wù)器端的magic_quotes，雖然他們默認(rèn)都是打開的（magic_quotes_gpc）

將下面兩個(gè)關(guān)閉
ini_set("magic_quotes_runtime", 0);
ini_set("magic_quotes_sybase", 0);

?? 全部自己手工對(duì)所有變量添加magic_quotes，就是添加addslashes
?? 代碼如下：
?? function stripslashes_deep($value){
? $value = is_array($value) ?
???? array_map('stripslashes_deep', $value) :
???? stripslashes($value);
? return $value;
?? }
???
? function strip_slashes(){
?? // If already slashed, strip.
?? //把原有的slash去掉，重新添加自己的magic_quotes
?? if ( get_magic_quotes_gpc() ) {
???? $_GET??? = stripslashes_deep($_GET?? );
???? $_POST?? = stripslashes_deep($_POST? );
???? $_COOKIE = stripslashes_deep($_COOKIE);
???? $_SERVER = stripslashes_deep($_SERVER);
???? $_REQUEST = stripslashes_deep($_REQUEST);
?? }
?? $_GET??? = add_magic_quotes($_GET?? );
?? $_POST?? = add_magic_quotes($_POST? );
?? $_COOKIE = add_magic_quotes($_COOKIE);
?? $_SERVER = add_magic_quotes($_SERVER);
?? $_REQUEST = add_magic_quotes($_REQUEST);
? }

? strip_slashes();

??
?? 顯示的時(shí)候全部stripslashes還原，雖然這很麻煩，不過如果你有一個(gè)模板引擎，可以在變量賦值的時(shí)候，統(tǒng)一作這個(gè)事情，
?? 例如：?function assign($var, $value = '') {
??if (is_array($var)) {
???foreach ($var as $k => $v) {
????$this->vars[$k] = stripslashes_deep($v);
???}
??} else {
???$this->vars[$var] = stripslashes_deep($value);
??}
?}

? 這樣可以避免' " \ 等符號(hào)，下面還會(huì)有說明

2 對(duì)于用戶名這樣的字段，輸入時(shí)候，檢查不允許有空格，而且必須是字母數(shù)字下劃線或劃線這四種，用正則檢查

? 還有諸如結(jié)點(diǎn)名，菜單名，角色名這些不需要用' " \的，一定要在錄入之前就檢查，或者用替換為空

3 所有ID為數(shù)字的變量，必須檢查是否為數(shù)字，并將變量強(qiáng)制轉(zhuǎn)換成數(shù)字
? 如果ID是前面帶0的或者字符型的，可用編碼規(guī)則對(duì)其進(jìn)行檢查，例如全是數(shù)字的正則

4 對(duì)于php的mysql函數(shù)，由于天生一次只能執(zhí)行一條語句，即;不會(huì)自動(dòng)斷。所以無法通過追加語句實(shí)現(xiàn)注入，只可能通過將語句插入到變量中來起作用注入，所以對(duì)于delete ，select，update都可能有破壞作用。
例如：delete from tbl_users where user_id = 'admin' 變成 delete from tbl_users where user_id = 'admin or user_id<>'0'，即在輸入欄為：admin or user_id<>'0
? 所以對(duì)于變量參數(shù)：
? 不該有空格的，空格要去掉
? 該位數(shù)字的，一定要轉(zhuǎn)換成數(shù)字
? 有編碼規(guī)則的，一定要檢查編碼規(guī)則
? 有長度限制的一定要加入長度限制
? 絕對(duì)不會(huì)有注入語句的，就篩查sql關(guān)鍵字
? 將一些危險(xiǎn)字符進(jìn)行替換，例如用“代替"，空格用%20代替，特殊字符轉(zhuǎn)成html等等
? 當(dāng)然用addslashes還是有明顯效果的，對(duì)于php來說，要想在變量中插入條件，必須通過'來完成，所以這一招可以徹底斷了所有企圖
?
5 apache,php,mysql不要以系統(tǒng)用戶運(yùn)行

6 連接mysql不要用root

7 系統(tǒng)的所有錯(cuò)誤信息必須關(guān)閉或者屏蔽

8 屏蔽非主流瀏覽器的user-agent

9 記錄所有的sql操作和用戶ip，如果發(fā)現(xiàn)危險(xiǎn)語句，可以立刻屏蔽該IP，例如3天
? 如果是用戶登錄后，有危險(xiǎn)sql注入的語句，直接刪除該用戶，同時(shí)屏蔽IP

10 對(duì)于驗(yàn)證碼要可以采用使用中文，變換字符串樣式，必須點(diǎn)擊彈出等方法

11 如果還是不安全，就要像電子銀行那樣，用U盾和專用控件了

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1784617