不久前我开始从事网络开发。我现在知道了一些东西,但我真的很担心可能出现的安全问题。我知道像 preg_replace 这样的简单安全解决方案,但我对此没有信心。
因此,我想请您提供可应用于以下情况的任何类型的“通用”安全标准。正如我提到的,我不是专业人士,所以如果您可以从简单但有用的东西开始,那就太好了。如果可能,您能否提供示例?
我确实看过 php 手册,但我想从其他人那里了解更多信息。
这是我在项目中使用的一些典型的 MySQL/PHP 东西。您能否提出任何改进建议以提高它们的安全性?
$sql = mysql_query("SELECT * FROM stories WHERE showing = 1 ORDER BY cr_date DESC LIMIT 5") or die (mysql_error("There was an error in connection"));
while($row = mysql_fetch_assoc($sql)){
$story_id = $row["id"];
// etc...
}
$username = $_POST['username'];
$sql = mysql_query("INSERT INTO myMembers (username, //etc... )
VALUES('$username' //etc.. ")or die (mysql_error());
$username = $_GET['username'];
//gets username from url like http://myweb.com/profile.php?username=blabla
最佳答案
首先感谢您对网络安全的关心。很多PHP开发者对此一无所知,也懒得去学。他们是将我们的密码和银行账户暴露给黑客的人。成为解决方案的一部分! :-)
<强>1。将 mysql 扩展视为已弃用。
使用 PDO或 mysqli扩展名代替。普通的 mysql 扩展不支持准备好的语句和一些其他功能,例如事务控制。如果他们有可用的 PDO_mysql 或 mysqli,则没有人应该使用 mysql。
<强>2。不要将外部数据插入到 SQL 中。
任何时候您从 $_GET 或 $_POST 获取值时,您都应该认为在任何 SQL 语句、shell_exec() 或您将字符串作为某种代码执行的其他实例中使用它是不安全的。
<强>3。使用准备好的查询参数而不是插值。
这真的很容易。事实上,使用查询参数比将变量插入到 SQL 字符串中更容易。您无需担心转义或长而复杂的字符串连接。
请参阅此处的示例代码:http://us.php.net/manual/en/pdo.prepare.php
<强>4。对于极端情况,请谨慎过滤。
查询参数代替 SQL 表达式中的一个文字值。不是表名,不是列名,不是 SQL 关键字,不是值列表或完整表达式。对于那些,您确实需要使用字符串插值,但请参阅我的演示文稿 SQL Injection Myths and Fallacies有关如何将值“列入白名单”以进行插值的示例。
另请查看 PHP filter扩展,它提供了一种灵活的方式来验证输入或去除无效字符以确保仅使用输入的有效部分。
查看您的示例,SELECT 查询没有从 $_GET 等外部源插入的动态值。所以那个是安全的。
INSERT 查询从请求中获取一个值,该值可能包含改变查询运行方式的恶意内容。这是使用查询参数的一个很好的候选者。
还要考虑到 SQL 注入(inject)是 PHP 的两个最普遍的安全问题之一。另一种是跨站点脚本 (XSS)。这与 SQL 没有直接关系,但您也应该了解它。
这里是学习更多关于网络编程安全的好资源:OWASP.org cheat sheets .
关于php - 如何保护项目免受黑客攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8218491/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为