软件应用程序安全开发指南(SDLC)(18)
2023-06-18 来源:飞速影视
变量类型缺陷逻辑比较时注意变量类型。
必要的时候使用"===",那么连变量类型一起比较。
3.5.6.警告及错误信息
修改php.ini中关于Errorhandlingandlogging部分内容:
error_reporting=E_ALLdisplay_errors=Offlog_errors=Onerror_log=/usr/local/apache/logs/php_error.log
然后重启apache,注意文件/usr/local/apache/logs/php_error.log,必需可
以让nobody用户可写。
3.5.7.PHP与MySQL组合的SQL注入
解决方法:
要求程序员对所有用户提交的要放到SQL语句的变量进行过滤。
即使是数字类型的字段,变量也要用单引号扩起来,MySQL自己会把字串处理成数字。
在MySQL里不能给PHP程序高级别权限的用户,只允许对自己的库进行操作。
3.5.8.跨站脚本
解决方法:
确认输入
strip_tags()
htmlspecialchars()
清除危险的插入点。
3.5.9.禁用无用的函数
如果觉得有些函数还有威胁,可以设置php.ini里的disable_functions(这个选项不能在httpd.conf里设置),比如:disable_functions=phpinfo,get_cfg_var
可以指定多个函数,用逗号分开。重启apache后,phpinfo,get_cfg_var函数
都被禁止了。建议关闭函数phpinfo,get_cfg_var,这两个函数容易泄漏服务器信息,而且没有实际用处。
3.5.10.禁用某些类
这个选项是从PHP-4.3.2开始才有的,它可以禁用某些类,如果有多个用逗号分隔类名。disable_classes也不能在httpd.conf里设置,只能在php.ini配置文件里修改。
3.5.11.限制脚本操作路径
前面分析例程的时候也多次提到用open_basedir对脚本操作路径进行限
制,这里再介绍一下它的特性。用open_basedir指定的限制实际上是前缀,不是目录名。也就是说"open_basedir=/dir/incl"也会允许访问"/dir/include"
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号