PHP安全编程 编写安全的PHP代码

昨天本来是想借一本网易DBA团队写的一本《深入浅出MySQL数据库开发、优化与管理维护》，不经意间看到了一本PHP安全编程方面的书籍《PHP应用程序安全编程》，是二位美国大师写的，可能是自己学的信息安全专业吧。对安全方面的东西比较感兴趣，自己又会点PHP，所以就借回来了。

昨晚好奇的看了一章，虽然是翻译的，但是还比较通顺，通俗易懂没有任何压力，呵呵。仅看了一章觉得自己以前写的软件安全性还有待很好的提高啊。第一章给我最深刻的一句话就是：我们无法创建完全安全的代码，但是我们可以编写足够安全的代码。的确，代码的安全性是相对的，没有绝对的安全，即使是想百度、腾讯的软件也存在安全漏洞，没有完全安全的软件，也不存在这样的软件。

怎样来保证PHP代码的安全呢？已自己的经验来和大家谈谈。

1、文件上传安全

一个使用PHP开发的网站或系统可能必不可少的就是文件的上传，所以对这些文件的条件限制我们要考虑充分。正如《PHP应用程序安全编程》里说的，我们要先考虑各方面的恶意行为，然后才考虑人性本善的一面。前台应尽量限制PHP等服务器端可以运行的脚本文件。

2、验证用户填写的信息

这在用户注册和登录以及发表评论等尤其要注意，我们不仅要在客户端验证，也就是使用Javascript验证，还要在服务器端PHP脚本验证用户的输入信息。这样双重验证一般可以达到黑客难以入侵的目的。

编写安全的PHP代码是PHP程序员时刻都应该注意的话题，一个没有相对安全的PHP程序几乎是一个失败的软件。只要我们在存在入侵可能的地方加强安全，就少了一分黑客攻破的可能。

昨天的一点小感受，也建议学习PHP的朋友看下《PHP应用程序安全编程》这本书，值得一看啊！

猜你喜欢