Il linguaggio di scripting PHP è generalmente un linguaggio di programmazione molto sicuro , soprattutto perché non soffre di attacchi di buffer overflow , come la lingua non si basa nella memoria . Ci sono , però , problemi di sicurezza e pericoli nascosti con la lingua. Grazie alla semplicità del linguaggio , alcuni programmatori possono lasciare accidentalmente vulnerabilità all'interno del codice . Quando si utilizzano i campi di input in PHP , ci sono alcune cose che si dovrebbe guardare fuori per . Cross Site Scripting
Cross Site Scripting o XSS è dove è contenuto input per lo script PHP , come ad esempio un Javascript. XSS è molto utile , per esempio, se si stavano radunando le notizie in una pagina web . Eppure, se si dispone di uno script che permette agli utenti di scegliere un numero di pagina , e invece inserire uno script per un codice esterno , allora il XSS porterà a buchi di sicurezza . Aggiungere un " strip_tags ( ) " nel PHP per rimuovere input HTML .
SQL Injection
SQL Injection permette di buchi di sicurezza nel database. In un form di login utente , ad esempio, se si utilizza una "password = ' $ password' " basic script, quindi l'hacker può inserire "' OR 1 = 1 " nel campo password e accedere al database . Questo significa che l'hacker può entrare qualsiasi account che conosce il nome utente per . Inserire il " mysql_real_escape_string ( ) " per evitare che questo succeda .
Spoofing Forma ingresso
con SQL Injection , se avete qualsiasi tipo di formare ad esempio un "input" o " textarea ", quindi un hacker può utilizzare questi sola lettura elementi per emettere comandi SQL e istruzioni nello script . Fissare questo come si farebbe con SQL injection se usa query SQL al database principale.
File Upload
Se si desidera offrire caricare un file di immissione sul sito web, questo pone un pericolo potenzialmente elevato di ingresso . Ci sono due cose da fare per risolvere questo problema . In primo luogo , specificare il tipo MIME per i file che volete caricati , ad esempio , aggiungere " image /jpeg " e " image /gif " per il tag $ validMimes per ridurre i tipi di file da quei mimi . In seguito il tipo MIME , per una maggiore sicurezza aggiungere " = > ' . Png ' " seguendo il tag png , per garantire che il tipo mime corrisponde l'estensione del file .
< Br >