关于php开发中用户请求数据的安全问题的一点想法

1. 关闭危险系统函数 。在php.ini中设置,disable_functions:phpinfo,system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname


2.统一入口的用户数据的安全校验(csrf、xss、sql注入的校验)。


3.开源框架通用关键入口配置更改(比如:tp5.0在路由混合模式中【既支持pathinfo、又支持路由方式】,通用配置留给居心叵测之徒的门槛低,避免使用通用配置)。


4.安全路由配置(比如:tp5支持强制路由,原理同网络资源白名单)。

 

5.mysql的操作使用PDO的驱动方式,预处理的方式大大降低被注入的风险。

posted @ 2018-12-24 17:45  小'帅  阅读(199)  评论(0编辑  收藏  举报