PHP 的安全性如何？

Question

我对 PHP 编码有点陌生，我知道如果您没有清理 PHP 代码，恶意用户可能会攻击网站。我想知道他们是否需要数据输入框（例如文件提交或用户名/密码输入字段）？

像“include (header.php)”这样的命令是否也需要某种安全性，或者它们本质上是安全的？

Answer 1

就像任何其他语言一样，PHP 代码与程序员编写的代码一样安全。

与任何其他语言一样，单个（甚至常见）安全风险数量过多且详细，无法包含在 StackOverflow 答案中。

查找一本涵盖安全 PHP 编码的书。

Answer 2

不要相信用户。

include "a/literal/file.php";

非常安全

include $someFile;

意味着您需要考虑如何设置 $someFile 。如果您使用用户提供给您的任何数据来设置 $someFile 的值，您最好对其进行清理。

Answer 3

引用 RSnake 在 2006 年 sla.ckers.org 上的帖子：

我认为有趣的是 Stefan Esser 从 PHP 事件响应团队退休。并不是要在董事会上掀起一场宗教战争，但有趣的是，PHP 安全响应团队的创始人厌倦了 PHP 缺乏安全性并因此退出。他的网站目前已关闭（流量泛滥？）：[blog.php-security.org] 所以这里是缓存的剪切和粘贴：

<块引用>

2006 年 12 月 9 日，星期六

昨晚我终于从 PHP 安全响应团队退休了，这最初是我几年前的想法。

造成这种情况的原因有很多，但最重要的一个是我已经意识到，任何从内部提高PHP安全性的尝试都是徒劳的。当你试图将 PHP 的安全问题归咎于用户时，PHP 小组就会加入你的行列，但当你批评 PHP 本身的安全性时，你就变成了不受欢迎的人。我不再计算因披露 PHP 安全漏洞或开发 Suhosin 而被称为不道德叛徒的次数。

对于普通 PHP 用户来说，这意味着我将不再在我的建议中隐藏对安全漏洞的缓慢响应时间。这也意味着我的一些建议将没有可用的补丁，因为 PHP 安全响应团队几个月来拒绝修复它们。这也意味着将会有更多关于 PHP 安全漏洞的建议。

由 Stefan Esser 在 PHP 安全性方面于 10:58 发布

嗯，虽然这听起来很可怕，但我真的很兴奋终于得到了有关 PHP 安全性的“真正的优惠”。我一直对此有点警惕，看看斯特凡会说什么会很有趣。

来源：http://sla.ckers.org/forum/read.php?2 ,3976

其中很好地介绍了 Hardened PHP 项目 Suhosin http://www.hardened-php .net/suhosin/ 和 Esser 的 PHP Bug 月项目 http://www.php-security。组织/

Answer 4

PHP 与任何事物一样安全。但不是默认的，它依赖于程序员的技能。与 .NET 不同，.NET 默认情况下有助于提高安全性。

包含是安全的，只是如果路径是动态生成的，请小心。

下面的内容是无害的（取决于 myfile.php 中的代码）

include("mypath/myfile.php");

Answer 5

关于数据输入框，应该关注 SQL 注入攻击、溢出、错误字符等。查看诸如 filter_var()、mysql_real_escape_string()、等函数pg_escape_string() 对于初学者来说。

Answer 6

同意这里每个人的观点 - PHP 本身并不比任何其他语言更安全或更不安全。

不过，您应该深入研究您的 php.ini 文件。您可能应该了解所有指令。这是很多人很早就犯错误的地方。

Answer 7

您的问题相当广泛和笼统，但要解决您提出的具体观点：

include (header.php);

相对安全，但

include ($header);

可能是一个危险的安全漏洞，具体取决于 $header 的分配方式以及是否已清理。

Answer 8

具体回答这个问题，PHP 作为一种语言是非常安全的。对于语言本身，建议您使用最新的稳定版本以保持基于语言的安全性。 php 维护者是创建和修复错误的人；）