PHP（Hypertext Preprocessor）一種 HTML 內(nèi)嵌式的語(yǔ)言，多年以來(lái)以其穩(wěn)定且價(jià)格的方面的優(yōu)勢(shì)受到廣大開(kāi)發(fā)人員的親睞，但是就像廣大的基于web的平臺(tái)一樣，php也會(huì)受到外部的攻擊，所以才去必要的安全措施是比不可少的一步。因此開(kāi)發(fā)人員，數(shù)據(jù)庫(kù)架構(gòu)師和系統(tǒng)管理員在部署PHP應(yīng)用程序到服務(wù)器之前都應(yīng)該采取預(yù)防措施，這些措施也許不需要長(zhǎng)篇的代碼，或者是大幅度的調(diào)整應(yīng)用程序即可完成對(duì)php的安全設(shè)置。

接下來(lái)，將為大家呈現(xiàn)五大PHP安全措施：

1：安裝腳本管理

在一般情況下，如果開(kāi)發(fā)人員安裝了一套第三方應(yīng)用程序的PHP腳本，主要用于在安裝應(yīng)用程序的工作組件，提供一個(gè)接入點(diǎn)，多數(shù)的情況下，軟件包會(huì)建議在安裝王之后刪除該腳本，但是如果想保存的話，可建立一個(gè).htaccess文件用來(lái)控制管理訪問(wèn)目錄。任何未經(jīng)授權(quán)的用戶，注意輸入的用戶名和密碼，密碼必須匹配指定的“passwords”文件中的密碼。

例如: AuthType Basic
AuthName “Administrators Only”
AuthUserFile /usr/local/apache/passwd/passwords
Require valid-user

2：頭文件

多數(shù)情況下，開(kāi)發(fā)人員可以將分布在應(yīng)用程序的幾個(gè)腳本包含進(jìn)一個(gè)腳本里。這些腳本將包含一個(gè)“include”指令，集成單個(gè)文件到原始頁(yè)面的代碼里。當(dāng)“include”文件包含敏感信息，包括用戶名、密碼和數(shù)據(jù)庫(kù)訪問(wèn)密鑰時(shí)，該文件的擴(kuò)展名應(yīng)該命名成“.php "，而不是典型的“.inc”擴(kuò)展。“.php”擴(kuò)展確保php引擎將處理該文件，并防止任何未經(jīng)授權(quán)的訪問(wèn)。

3: SHA

如果用戶最終想要?jiǎng)?chuàng)建自己的用戶名和密碼，那么站點(diǎn)管理員通常會(huì)對(duì)表單提交的密碼加密，并保存在數(shù)據(jù)庫(kù)中。很多開(kāi)發(fā)人員使用SHA-1(安全散列算法)函數(shù)來(lái)創(chuàng)建一個(gè)160位的字符串，而不再是用過(guò)去的MD5來(lái)加密。

4: 自動(dòng)全局變量

php.ini文件中包含的設(shè)置通常稱為“register_globals”。P服務(wù)器會(huì)根據(jù)register_globals的設(shè)置，將會(huì)為服務(wù)器變量和查詢字符串自動(dòng)創(chuàng)建全局變量。在安裝第三方的軟件包時(shí)，比如內(nèi)容管理軟件，像Joomla和Drupal，安裝腳本將引導(dǎo)用戶把register_globals設(shè)置為“關(guān)閉”。將設(shè)置改變?yōu)?ldquo;關(guān)閉”可以確保未經(jīng)授權(quán)的用戶無(wú)法通過(guò)猜測(cè)變量名稱及驗(yàn)證密碼來(lái)訪問(wèn)數(shù)據(jù)。

5: 初始化變量和值

由于時(shí)間的限制或缺乏經(jīng)驗(yàn)，導(dǎo)致許多開(kāi)發(fā)人員都落入了實(shí)例化變量不賦值的陷阱。用戶登錄程序開(kāi)始前就有了身份驗(yàn)證過(guò)程中的變量值，之所以做這個(gè)步驟，主要是為了防止用戶繞過(guò)驗(yàn)證程序或訪問(wèn)站點(diǎn)中某些他們沒(méi)有權(quán)限的區(qū)域。