总结PHP的安全措施

　　PHP应用程序部署到服务器之前，开发人员、数据库架构师和系统管理员应该采取预防措施，大多数预防措施可以通过几行代码或稍微调整应用程序设置来完成，今天爱站技术频道小编带你总结PHP的安全措施吧!

　　#1：管理安装脚本

　　如果开发人员已经安装了一套第三方应用程序的PHP脚本，该脚本用于安装整个应用程序的工作组件，并提供一个接入点。大多数第三方软件包都建议在安装后，删除该目录包含的安装脚本。但开发人员希望保留安装脚本，他们可以创建一个.htaccess文件来控制管理访问目录。

　　AuthType Basic

　　AuthName “Administrators Only”

　　AuthUserFile /usr/local/apache/passwd/passwords

　　Require valid-user

　　任何未经授权的用户，如果试图访问一个受保护的目录，将会看到一个提示，要求输入用户名和密码。密码必须匹配指定的“passwords”文件中的密码。

　　#2：头文件

　　在很多情况下，开发人员可以将分布在应用程序的几个脚本包含进一个脚本里。这些脚本将包含一个“include”指令，集成单个文件到原始页面的代码里。当“include”文件包含敏感信息，包括用户名、密码和数据库访问密钥时，该文件的扩展名应该命名成“.php "，而不是典型的“.inc”扩展。“.php”扩展确保php引擎将处理该文件，并防止任何未经授权的访问。

　　#3: MD5 vs. SHA

　　在某些情况下，用户最终会创建自己的用户名和密码，而站点管理员通常会对表单提交的密码加密，并保存在数据库中。在过去的几年中，开发人员会使用MD5(消息摘要算法)函数，加密成一个128位的字符串密码。今天，很多开发人员使用SHA-1(安全散列算法)函数来创建一个160位的字符串。

　　#4: 自动全局变量

　　php.ini文件中包含的设置称为“register_globals”。P服务器会根据register_globals的设置，将会为服务器变量和查询字符串自动创建全局变量。在安装第三方的软件包时，比如内容管理软件，像Joomla和Drupal，安装脚本将引导用户把register_globals设置为“关闭”。将设置改变为“关闭”可以确保未经授权的用户无法通过猜测变量名称及验证密码来访问数据。

　　#5: 初始化变量和值

　　许多开发人员都落入了实例化变量不赋值的陷阱，原因可能由于时间的限制而分心，或缺乏努力。身份验证过程中的变量，应该在用户登录程序开始前就有值。这个简单的步骤可以防止用户绕过验证程序或访问站点中某些他们没有权限的区域

　　以上就是爱站技术频道的小编给我们讲解的关于总结PHP的安全措施的全部内容了，有没有你感兴趣的其他文章呢?有就赶紧收藏爱站技术频道，方便后期的查阅吧!

原文链接:https://js.aizhan.com/develop/php/8220.html
如有疑问请与原作者联系

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有