php開發(fā)安全規(guī)范
1、不要使用弱口令���,要大寫+小寫+數(shù)字+特殊字符,6個字符以上
2���、口令不要設置為 自己的名字或生日等
3���、非測試或調試狀態(tài)下,不允許顯示phpinfo頁面
4����、php.ini 安全配置
expose_php = Off #關閉php版本顯示
enable_dl = off #不允許調用dl
allow_url_include = off #避免遠程調用文件包含
upload_tmp_dir = /tmp #明確定義upload目錄
open_basedir = ./:/tmp:/home/wwwroot/ #限制用戶訪問的目錄,但會導致訪問變慢
register_globals = off #關閉注冊全局變量
display_errors = off #關閉php錯誤日志在前臺顯示
magic_quotes_gpc = on #過濾外部的GET����、POST、COOKIE變量中的單引號(')��、雙引號(")、反斜杠(\)及空字符(NULL)的前面加上反斜杠(\)
magic_quotes_runtime = on #過濾數(shù)據(jù)庫及文件中的單引號(')��、雙引號(")�、反斜杠(\)及空字符(NULL)的前面加上反斜杠(\)
safe_mode= on #對于一些文件操作和命令執(zhí)行函數(shù)作功能限制
open_basedir= 目錄 #限制php程序可以訪問的目錄
disable_functions= 函數(shù),函數(shù) #禁止php使用哪些函數(shù)
1����、不要輕易對一個程序運行 ”以管理員方式運行”
2、盡量不要使用網(wǎng)上的破解或來源不明的軟件
3��、不要用移動存儲設備持久保存公司或個人文件
4����、不要訪問***、***等非法網(wǎng)站�,并在上面填寫自己的信息
5、不要在網(wǎng)站內點擊廣告之類的彈窗
6��、要定期清理游覽器緩存和歷史記錄
7���、不要在游覽器設置密碼自動保存
8�、不要在網(wǎng)絡留下“自己是某公司的職員”之類的信息
9���、不要點擊不明來源的URL(一般以不明來源的郵件為主)
10�、不要在登陸后臺時點擊某個鏈接,這個永遠是最危險的
11�、不要相信10010、10086����、110、112 之類的來電或短信(這類短信很少會要求你下載某個app)
12���、不要把常用密碼設為同一個�,最好常備3個
13��、如果突然有同事發(fā)郵件問你一些公司的秘密�,你要和他核實信息��,比如打電話�,短信等
14、要在登陸點設置驗證
15����、不要給予上傳文件執(zhí)行權限
16、對于上傳文件不要只在客戶端做js的簡單后綴識別,也要在服務端做控制,并在文件上傳后要改變其原文件名
17����、對于內部和外部的數(shù)據(jù)����,不僅要驗證數(shù)據(jù)的類型���,還要驗證其格式�、長度��、范圍和內容
18���、要對用戶訪問�、操作目錄和session會話做權限控制
19��、要對傳入數(shù)據(jù)庫的參數(shù)做過濾控制
20��、對于用戶留言等于用戶有交互的地方��,要對用戶輸入的字符做過濾
21��、隱藏敏感頁面�,如conn.php等
22、非集群環(huán)境下Mysql root賬號只允許 localhost和127.0.0.1 訪問��,禁止外部訪問
23����、如果是集群環(huán)境����,要給mysql配置黑白名單
24��、對于mysql要做到一個用戶管理一個庫���,不要在程序中直接使用root做SQL語句執(zhí)行
