溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
前幾天配置PHP5.4的時候發現PHP新版已經在一些安全函數方面進行了增改,從php自身防止一些不必要的漏洞,因此開發人員在寫代碼時也需要注意版本的兼容。下面講幾個涉及安全方面的函數進行說明。
1、safe_mode
狀態:已刪除
描述:此函數主要限制系統相關的文件打開、命令執行等函數(具體影響函數見參考1)。當然現在也有bypasss safe_mode的方法(見參考2),通過com接口來繞過。
解決辦法:可以通過配置php.ini中的disable_functions函數列表進行限制指定函數。
2、magic_quotes_gpc
狀態:已刪除 (magic_quotes_runtime、magic_quotes_sybase 刪除)
描述:此函數在PHP <= 4.2.3默認開,會自動對GPC (Get/Post/Cookie)提交的值中的’, “, 和空格進行轉義,PHP5.4中get_magic_quotes_gpc()默認返回false。
解決辦法:基本上還是不受影響,先檢測狀態,然后采用mysql_real_escape_string進行轉義處理。
3、register_globals
狀態:已刪除
描述:此函數雖然從PHP>>4.2開始默認由on改為off,但是如果程序員開啟的話會導致變量覆蓋等安全問題,特別是結合文件包含漏洞等。
解決辦法:可以結合前面sablog源碼中的函數進行改寫(采用extract函數).
4、session_register
狀態:已刪除(session_unregister()、session_is_registered 刪除)
描述:采用session認證的時候可以用該函數注冊session變量。
解決辦法:采用$_SESSION數組進行注冊變量。
參考:
http://hi.baidu.com/zhangguanshi/blog/item/0a5bf51771a54e42f3de32d1.html
http://luoq.net/PHP-COM-functions/
http://php.net/releases/5_4_0.php
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
