PHP 安全小记

时间 2019-12-06

标签 php 安全栏目 PHP 繁體版

原文原文链接

一切输入都是不可信的php

一切输入都是不可信的html

一切输入都是不可信的mysql

变量的处理

web 程序中全部 get post cookies update_files 来的变量都是不可信的web

输入的变量组成 mysql SQL 前都要用 mysql_real_escape_string() 处理sql
输入的变量回显在页面或者存入数据库钱都要用 htmlspecialchars() 函数处数据库
对于传入的整数或浮点数可使用 intval() 或 floatval() 处理安全
关闭 magic_quotes_runtime 安全掌握到本身的手里 set_magic_quotes_runtime(false)cookie

数据加密

序列化 -> 加密 -> 解密 -> 反序列化函数

$userinfo = '信息'; //用户信息
$secureKey = '密钥'; //加密密钥
$str = serialize($userinfo); //将用户信息序列化
echo "用户信息加密前：".$str;
$str = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $secureKey, $str, MCRYPT_MODE_ECB));
echo "用户信息加密后：".$str;
//将加密后的用户数据存储到cookie中
setcookie('userinfo', $str); 
//当须要使用时进行解密
$str = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $secureKey, base64_decode($str), MCRYPT_MODE_ECB);
$uinfo = unserialize($str);
echo "解密后的用户信息：\n";
var_dump($uinfo);

密码加密

$password = '密码';
$salt = substr(uniqid(rand()), -6);
echo $salt . "\n";
$password = md5(md5($password).$salt);
echo $password;