php 愿望清单_最终PHP安全清单

2024-01-19 20:50
文章标签 安全 php 清单 最终 愿望

本文主要是介绍php 愿望清单_最终PHP安全清单,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

php 愿望清单

该死的,但是安全性很难。 所需做的事情并不总是很明显,而良好安全性的收益充其量是模糊的。 当它不在我们的优先列表中时,谁会感到惊讶?

该安全清单旨在为开发人员提供可以遵循PHP安全最佳实践列表,以帮助提高其代码的安全性。

这是一些PHP安全检查表项目的一部分( 此处 阅读完整的检查表

筛选和验证所有数据

无论数据来自何处,无论是配置文件,服务器环境,GET和POST还是其他任何地方,都不信任它。 过滤并验证! 通过使用可用的库之一(例如zend-inputfilter)来执行此操作。

  • Zend框架中的验证
  • 在Symfony中进行验证
  • Laravel中的验证

使用参数化查询

为避免SQL注入攻击,请勿将SQL字符串与外部数据连接或插入。 使用参数化查询代替预备语句。 这些可以与供应商特定的库一起使用,也可以与PDO一起使用。

学到更多:

  • PDO中的准备好的语句和存储过程
  • Mysqli预备语句
  • PostgreSQL pg_query_params函数

设置open_basedir

open_basedir指令限制了PHP可以从open_basedir目录及更低版本访问文件系统的文件。 不能访问该目录之外的文件或目录。 这样,如果恶意用户尝试访问敏感文件(例如/etc/passwd ,则访问将被拒绝。

  • open_basedir配置指令
  • PHP文件系统安全
  • DigitalOcean隔离的执行环境

检查您的SSL / TLS配置

通过定期扫描服务器,确保服务器的SSL / TLS配置是最新的且配置正确,并且未使用弱密码,TLS的过时版本,没有弱密钥的有效安全证书等。

  • SSL实验室
  • Mozilla的天文台

使用TLS或公钥连接到远程服务

当访问任何数据库,服务器或远程服务(例如Redis,Beanstalkd或Memcached)时,请始终使用TLS或公钥进行访问。 这样做可以确保仅允许经过身份验证的访问,并且对请求和响应进行加密,并且不会明文传输数据。

  • 公钥基础结构和SSL / TLS加密
  • 什么是SSL,TLS和HTTPS?
  • SSL与TLS —有何区别?

不要在标题中发送敏感信息

默认情况下,PHP将在HTTP标头中设置其版本号。 一些框架可能也做同样的事情。

  • 隐藏HTTP标头中PHP和Apache信息

记录所有事情

无论您是登录失败的登录尝试,密码重置还是调试信息,都请确保您正在登录,并使用易于使用且成熟的软件包(例如Monolog)。

  • 独白
  • PHP日志记录基础

制定内容安全政策

无论您是一个页面,静态网站,大型静态网站还是复杂的基于Web的应用程序,都应实施内容安全策略(CSP)。 它有助于减轻一系列常见的攻击媒介,例如XSS。

  • 通过MDN Web文档的内容安全策略(CSP)
  • 通过Google Chrome扩展程序文档的内容安全政策(CSP)
  • CSP评估员
  • 内容安全策略(CSP)验证程序
  • 使用Sqreen轻松添加内容安全策略
想要更多? 在此处 查看完整清单

最初在 www.sqreen.io上 发布

翻译自: https://hackernoon.com/the-ultimate-php-security-checklist-eec9895f2fa3

php 愿望清单

这篇关于php 愿望清单_最终PHP安全清单的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/623660

相关文章

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

Codeforces Beta Round #47 C凸包 (最终写法)

题意慢慢看。 typedef long long LL ;int cmp(double x){if(fabs(x) < 1e-8) return 0 ;return x > 0 ? 1 : -1 ;}struct point{double x , y ;point(){}point(double _x , double _y):x(_x) , y(_y){}point op

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

PHP原理之内存管理中难懂的几个点

PHP的内存管理, 分为俩大部分, 第一部分是PHP自身的内存管理, 这部分主要的内容就是引用计数, 写时复制, 等等面向应用的层面的管理. 而第二部分就是今天我要介绍的, zend_alloc中描写的关于PHP自身的内存管理, 包括它是如何管理可用内存, 如何分配内存等. 另外, 为什么要写这个呢, 因为之前并没有任何资料来介绍PHP内存管理中使用的策略, 数据结构, 或者算法. 而在我们

php中json_decode()和json_encode()

1.json_decode() json_decode (PHP 5 >= 5.2.0, PECL json >= 1.2.0) json_decode — 对 JSON 格式的字符串进行编码 说明 mixed json_decode ( string $json [, bool $assoc ] ) 接受一个 JSON 格式的字符串并且把它转换为 PHP 变量 参数 json

如何将文件夹里的PHP代码放到一个文件里

find ./dir -name "*.php" -exec 'cat' {} \; > dir.out

PHP抓取网站图片脚本

方法一: <?phpheader("Content-type:image/jpeg"); class download_image{function read_url($str) { $file=fopen($str,"r");$result = ''; while(!feof($file)) { $result.=fgets($file,9999); } fclose($file); re