规则 1：绝不要信任外部数据或输入

　　关于 Web 应用程序安全性，必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前，来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。

　　例如，下面的数据元素可以被认为是安全的，因为它们是在 PHP 中设置的。

　　清单 1. 安全无暇的代码

以下为引用的内容：  
$myUsername = ''tmyer'';
$arrayUsers = array(''tmyer'', ''tom'', ''tommy'');
define("GREETING", ''hello there'' . $myUsername);
?>   

　　但是，下面的数据元素都是有瑕疵的。

　　清单 2. 不安全、有瑕疵的代码

以下为引用的内容：  
$myUsername = 












	


  

  

    
网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

    
快速业务通道
      
        ++++选择通道++++
         国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器

        国内大带宽
      
    
    

      

        
首页
        
服务器租用
        
服务器托管
        
海外服务器
        
带宽租用
        
企业邮局
        
增值服务
      

    
  
  

  

    

      

        
欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020
      

    
    

      

        
厦门电信服务器
        
汕头电信服务器
        
厦门网通服务器
        
汕头双线服务器

        
江西电信服务器
        
百M独享服务器
        
国外服务器
        
香港服务器
        
美国服务器
        
其他机房

      
    
    

      

        
厦门电信托管
        
厦门网通托管
        
汕头电信托管

        
汕头双线托管
      
    
    

      

        
美国KT服务器
        
美国FDC服务器

        
美国TB服务器
        
美国ST服务器
        
欧洲服务器
        
香港服务器
        
台湾服务器
        
日本服务器

        
新加坡服务器
        
韩国服务器
        
菲律宾服务器
      
    
    

      


        
国内百独服务器
        
香港10M独享
        
美国不限流量服务器
      
    
    

      

        
欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020
      
    
    

      

        
欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020
      

    
  



	

		
首 页
		
		
IDC资讯
		
		
网站运营
		
		
网赚联盟
		
		
程序设计
		
		
Web编程
		
		
网页制作
		
		
数据库
		
		
软件技巧
		
		
服务器技术
		
		
操作系统
		
		
网络技术
		
		
脚本技术
		
	
	




	
	
技术文章 >  Web编程 >  PHP编程 > 正文
	
	

		
		文件
		
		-1
		
		text
		
		win2
		
		服务
		
		域名
		
	
	
	

		

			
			
			
			
			
			
		
	
	



	
	

		

			

				

						
PHP开发不能违背的安全规则 外部数据提交的处理
						
 作者 佚名技术 
							来源 NET编程 
							浏览 
							
							 发布时间 2012-05-23 
						

							

                                

								

                                
								

									
content
								
                                

								
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn
为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

								
							
						
						

                        

                          
    

        分享到：
        
        
        
        
        
        
        
        
        
        更多
		
    




                          

                        
                        

                          
你可能对下面的文章感兴趣
                          

							

                          
                          
CISCO交换机如何删除Vlan
                          
                          
粉丝教程系列1：网站片头二---效果篇
                          
                          
java别名问题 - 编程入门网
                          
                          
FreeBSD高效简洁的系统升级方法
                          
                          
RIP路由协议深入解析
                          
                          
在Web Service中使用ASP.net状态保持(5)
                          
                          
浅谈让论坛会员积极发贴的三大方法
                          
                          
运行bat时隐藏cmd窗口的方法(bat隐藏窗口 隐藏运行bat文件)
                          
                          
Photoshop创建婚礼类网站模板
                          
                          
Flash游戏开发常用函数代
                          
                          
                          
                        

                        
						
上一篇: 百万级PHP网站架构技术揭秘下一篇: 细数LAMP优势 看Web技术养生之道
							

						
						
						

							
 关于PHP开发不能违背的安全规则 外部数据提交的处理的所有评论 
							
							

								
							
							
							

								

									
									昵称
									
									评论内容
									
									
									
								
							
						
					
				

	
随机推荐
	

		

		

           
全球好IDC交流论坛
           
厦门服务器租用
           
香港服务器租用
           
美国服务器租用
           
163美丽网
           
流行发型大全
           
丝袜美腿诱惑
           
维权防骗网
		
	


					

						
相关文章
						

							

                                
                                
带你彻底认识路由器
                                
                                
flash网游开发日志
                                
                                
Linux命令学习手册-dmesg命令
                                
                                
全面掌握Java的异常处理机制 - 编程入门网
                                
                                
用VBScript实现压缩目录中的所有文件(Zip)
                                
                                
Photoshop教程:绿色清新的剔透肤色女孩
                                
                                
闪光影子的制作
                                
                                
惯性运动 弹簧精确分析
                                
                                
SpringSide开发实战（八）：不是结局的结局，谈谈程序员的境界 - 编程入门网
                                
                                
Photoshop调色:橙红色调妹妹照片
                                
                                
PS鼠绘教程:绘制逼真的诺基亚5310手机
                                
                                
PS制作宝丽来拼贴效果幸福全家福照片
                                
                                
PHP实现网页自动更新块
                                
                                
linux-qmail 病毒/垃圾邮件处理
                                
                                

          ASP教程:虚拟目录下不能上传图片

                                
                                
创建本地yum源
                                
                                
V4L2(video 4 linux 2)视频采集接口使用说明
                                
                                
linux命令技巧
                                
                                
十个理由让你爱上Fedora 10
                                
                                
ASP.NET应用程序中要小心使用放在App_Code文件夹类中的静态成员
                                
							
						
					
					

						
  
					
			
		
	
	
	
  

  

    
关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图
    
Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved
    
地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁）   邮编(ZIP)：361008 
    
电话：0592-5908028  传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134
    
《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号
   


  
  





POST[''username'']; //tainted!  
$arrayUsers = array($myUsername, ''tom'', ''tommy''); //tainted!  
define("GREETING", ''hello there'' . $myUsername); //tainted!  
?> 

　　为什么第一个变量 $myUsername 是有瑕疵的?因为它直接来自表单 POST。用户可以在这个输入域中输入任何字符串，包括用来清除文件或运行以前上传的文件的恶意命令。您可能会问，“难道不能使用只接受字母 A-Z 的客户端(Javascrīpt)表单检验脚本来避免这种危险吗?”是的，这总是一个有好处的步骤，但是正如在后面会看到的，任何人都可以将任何表单下载 到自己的机器上，修改它，然后重新提交他们需要的任何内容。

　　解决方案很简单：必须对

网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

快速业务通道 ++++选择通道++++ 国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器 国内大带宽

• 首页
• 服务器租用
• 服务器托管
• 海外服务器
• 带宽租用
• 企业邮局
• 增值服务

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 厦门电信服务器
• 汕头电信服务器
• 厦门网通服务器
• 汕头双线服务器
• 江西电信服务器
• 百M独享服务器
• 国外服务器
• 香港服务器
• 美国服务器
• 其他机房

• 厦门电信托管
• 厦门网通托管
• 汕头电信托管
• 汕头双线托管

• 美国KT服务器
• 美国FDC服务器
• 美国TB服务器
• 美国ST服务器
• 欧洲服务器
• 香港服务器
• 台湾服务器
• 日本服务器
• 新加坡服务器
• 韩国服务器
• 菲律宾服务器

• 国内百独服务器
• 香港10M独享
• 美国不限流量服务器

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020

• 首 页
• IDC资讯
• 网站运营
• 网赚联盟
• 程序设计
• Web编程
• 网页制作
• 数据库
• 软件技巧
• 服务器技术
• 操作系统
• 网络技术
• 脚本技术

技术文章 > Web编程 > PHP编程 > 正文

文件 -1 text win2 服务 域名

PHP开发不能违背的安全规则 外部数据提交的处理 作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-23 content 凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢! 分享到： 更多 你可能对下面的文章感兴趣 CISCO交换机如何删除Vlan 粉丝教程系列1：网站片头二---效果篇 java别名问题 - 编程入门网 FreeBSD高效简洁的系统升级方法 RIP路由协议深入解析 在Web Service中使用ASP.net状态保持(5) 浅谈让论坛会员积极发贴的三大方法 运行bat时隐藏cmd窗口的方法(bat隐藏窗口 隐藏运行bat文件) Photoshop创建婚礼类网站模板 Flash游戏开发常用函数代 上一篇: 百万级PHP网站架构技术揭秘下一篇: 细数LAMP优势 看Web技术养生之道 关于PHP开发不能违背的安全规则 外部数据提交的处理的所有评论 昵称 评论内容

随机推荐 全球好IDC交流论坛 厦门服务器租用 香港服务器租用 美国服务器租用 163美丽网 流行发型大全 丝袜美腿诱惑 维权防骗网 相关文章 带你彻底认识路由器 flash网游开发日志 Linux命令学习手册-dmesg命令 全面掌握Java的异常处理机制 - 编程入门网 用VBScript实现压缩目录中的所有文件(Zip) Photoshop教程:绿色清新的剔透肤色女孩 闪光影子的制作 惯性运动 弹簧精确分析 SpringSide开发实战（八）：不是结局的结局，谈谈程序员的境界 - 编程入门网 Photoshop调色:橙红色调妹妹照片 PS鼠绘教程:绘制逼真的诺基亚5310手机 PS制作宝丽来拼贴效果幸福全家福照片 PHP实现网页自动更新块 linux-qmail 病毒/垃圾邮件处理 ASP教程:虚拟目录下不能上传图片 创建本地yum源 V4L2(video 4 linux 2)视频采集接口使用说明 linux命令技巧 十个理由让你爱上Fedora 10 ASP.NET应用程序中要小心使用放在App_Code文件夹类中的静态成员

关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁） 邮编(ZIP)：361008

电话：0592-5908028 传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号

　　对用户输入进行清理的一个简单方法是，使用正则表达式来处理它。在这个示例中，只希望接受字母。将字符串限制为特定数量的字符，或者要求所有字母都是小写的，这可能也是个好主意。

　　清单 3. 使用户输入变得安全

以下为引用的内容：  
$myUsername = cleanInput(












	


  

  

    
网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们

    
快速业务通道
      
        ++++选择通道++++
         国内服务器厦门电信服务器汕头电信服务器温州电信服务器厦门网通服务器汕头双线服务器美国服务器欧洲服务器美国KT机房服务器美国FDC机房服务器香港服务器新加坡服务器韩国服务器台湾服务器英国服务器德国服务器新加坡Qala机房服务器香港机房服务器法国服务器江苏电信服务器美国TB机房服务器日本服务器河北网通服务器厦门软二服务器台湾机房服务器韩国机房服务器美国ST机房服务器江西电信服务器其他机房服务器菲律宾服务器日本机房服务器菲律宾机房服务器

        国内大带宽
      
    
    

      

        
首页
        
服务器租用
        
服务器托管
        
海外服务器
        
带宽租用
        
企业邮局
        
增值服务
      

    
  
  

  

    

      

        
欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020
      

    
    

      

        
厦门电信服务器
        
汕头电信服务器
        
厦门网通服务器
        
汕头双线服务器

        
江西电信服务器
        
百M独享服务器
        
国外服务器
        
香港服务器
        
美国服务器
        
其他机房

      
    
    

      

        
厦门电信托管
        
厦门网通托管
        
汕头电信托管

        
汕头双线托管
      
    
    

      

        
美国KT服务器
        
美国FDC服务器

        
美国TB服务器
        
美国ST服务器
        
欧洲服务器
        
香港服务器
        
台湾服务器
        
日本服务器

        
新加坡服务器
        
韩国服务器
        
菲律宾服务器
      
    
    

      


        
国内百独服务器
        
香港10M独享
        
美国不限流量服务器
      
    
    

      

        
欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020
      
    
    

      

        
欢迎光临凌众科技，我们将竭诚为您提供最优质的服务！业务电话：0592-5908028 技术支持电话：0592-5908020
      

    
  



	

		
首 页
		
		
IDC资讯
		
		
网站运营
		
		
网赚联盟
		
		
程序设计
		
		
Web编程
		
		
网页制作
		
		
数据库
		
		
软件技巧
		
		
服务器技术
		
		
操作系统
		
		
网络技术
		
		
脚本技术
		
	
	




	
	
技术文章 >  Web编程 >  PHP编程 > 正文
	
	

		
		文件
		
		-1
		
		text
		
		win2
		
		服务
		
		域名
		
	
	
	

		

			
			
			
			
			
			
		
	
	



	
	

		

			

				

						
PHP开发不能违背的安全规则 外部数据提交的处理
						
 作者 佚名技术 
							来源 NET编程 
							浏览 
							
							 发布时间 2012-05-23 
						

							

                                

								

                                
								

									
content
								
                                

								
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn
为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

								
							
						
						

                        

                          
    

        分享到：
        
        
        
        
        
        
        
        
        
        更多
		
    




                          

                        
                        

                          
你可能对下面的文章感兴趣
                          

							

                          
                          
CISCO交换机如何删除Vlan
                          
                          
粉丝教程系列1：网站片头二---效果篇
                          
                          
java别名问题 - 编程入门网
                          
                          
FreeBSD高效简洁的系统升级方法
                          
                          
RIP路由协议深入解析
                          
                          
在Web Service中使用ASP.net状态保持(5)
                          
                          
浅谈让论坛会员积极发贴的三大方法
                          
                          
运行bat时隐藏cmd窗口的方法(bat隐藏窗口 隐藏运行bat文件)
                          
                          
Photoshop创建婚礼类网站模板
                          
                          
Flash游戏开发常用函数代
                          
                          
                          
                        

                        
						
上一篇: 百万级PHP网站架构技术揭秘下一篇: 细数LAMP优势 看Web技术养生之道
							

						
						
						

							
 关于PHP开发不能违背的安全规则 外部数据提交的处理的所有评论 
							
							

								
							
							
							

								

									
									昵称
									
									评论内容
									
									
									
								
							
						
					
				

	
随机推荐
	

		

		

           
全球好IDC交流论坛
           
厦门服务器租用
           
香港服务器租用
           
美国服务器租用
           
163美丽网
           
流行发型大全
           
丝袜美腿诱惑
           
维权防骗网
		
	


					

						
相关文章
						

							

                                
                                
带你彻底认识路由器
                                
                                
flash网游开发日志
                                
                                
Linux命令学习手册-dmesg命令
                                
                                
全面掌握Java的异常处理机制 - 编程入门网
                                
                                
用VBScript实现压缩目录中的所有文件(Zip)
                                
                                
Photoshop教程:绿色清新的剔透肤色女孩
                                
                                
闪光影子的制作
                                
                                
惯性运动 弹簧精确分析
                                
                                
SpringSide开发实战（八）：不是结局的结局，谈谈程序员的境界 - 编程入门网
                                
                                
Photoshop调色:橙红色调妹妹照片
                                
                                
PS鼠绘教程:绘制逼真的诺基亚5310手机
                                
                                
PS制作宝丽来拼贴效果幸福全家福照片
                                
                                
PHP实现网页自动更新块
                                
                                
linux-qmail 病毒/垃圾邮件处理
                                
                                

          ASP教程:虚拟目录下不能上传图片

                                
                                
创建本地yum源
                                
                                
V4L2(video 4 linux 2)视频采集接口使用说明
                                
                                
linux命令技巧
                                
                                
十个理由让你爱上Fedora 10
                                
                                
ASP.NET应用程序中要小心使用放在App_Code文件夹类中的静态成员
                                
							
						
					
					

						
  
					
			
		
	
	
	
  

  

    
关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图
    
Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved
    
地址(ADD)：厦门软件园二期望海路63号701E（东南融通旁）   邮编(ZIP)：361008 
    
电话：0592-5908028  传真：0592-5908039 咨询信箱：web@lingzhong.cn 咨询OICQ：173723134
    
《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号
   


  
  





POST[''username'']); //clean!  
$arrayUsers = array($myUsername, ''tom'', ''tommy''); //clean!  
define("GREETING", ''hello there'' . $myUsername); //clean!  
function cleanInput($input){   $clean = strtolower($input);  
$clean = preg_replace("/[^a-z]/", "", $clean);  
$clean = substr($clean,0,12);return $clean;  
}  
?>  

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!