标签目录:PHP

以下是与标签 “PHP” 相关联的文章

PHP 命令执行代码防御

1,escapeshellarg处理 escapeshellarg函数是为了从当作系统命令参数的用户输入中移出含有潜在危险的字符而设计的(在我们的例子中,是ls命令)。 2,过滤恶意字符 过滤常见的命令执行等字符(| & :)。这种方式可能会存在遗漏,可以结合escapeshellarg一起来使用。

PHP 文件上传代码防御

1,时间戳修改文件名+白名单验证文件后缀 修改上传文件的名字,设置允许上传文件的类型,采用白名单的形式严格校验。样例如下图: 2,上传目录非网站目录 建议上传目录和网站目录分离,也可以结合FTP等等技术实现。防止黑客利用解析漏洞(例如Nginx解析漏洞)绕过上传限制。 3,上传目录限制脚……

PHP SQL注入基本防御

1,参数转义 1.1 数字型参数强换 SQL语句中需要拼接一个数字型参数的时候,使用intval() 将参数强制转换为整形。 $id = intval($_GET['id']); $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre&g……

PHP 常见加固

1. 版本号隐藏  修改 php.ini 文件,关闭版本号显示。 expose_php = Off 3. 错误日志管理 修改 php.ini 文件,将对应的参数设置为记录错误日志但不输出到客户端,防止日志显示导致的信息泄露。 date.timezone = “Asia/Shanghai” error_reporting = E_ALL & ~E_NOTICE display_errors = Off log_……