对用户的输入的数据进行安全验证

1.常见错误

1.1全局变量

一个基本的错误就是没有合理的进行全局变量的初始化。最好是把php.ini中的配置‘register_globals’的值设置为off(从php4.2开始默认关闭)以便避免类似错误的发生,但你仍然要注意此类问题。

1.2跨站运行脚本

通过跨站运行脚本技术,一个攻击者可以在用户的浏览器端执行一些客户端脚本,例如JavaScript,然后盗取用户的cookies或者其他重要数据。

2.SQL注入

SQL注入是一种攻击者将恶意的代码提交到服务器的数据库中去的方法。

3.HMAC(鉴定信息的关键字散列)

HMAC被证明为强大的加密方式而且应该被用来代替简易的验证算法。HMAC算法使用一个加密的健值对明文进行双重散列处理。具体步骤如下:

1.如果键值的长度小于64字节(大部分散列算法使用的块长度),我们就用\0把健值扩展到64字节;如果键值的长度大于64字节,我们将首先使用散列函数处理健值,然后用\0把健值扩展到64字节。

2.我们构建opad(用0x5C异或的64字节的健值)和ipad(用0x36异或的64字节的健值)。

3.我们通过运行散列函数处理ipad.plain text 来创建一个“内部”的散列。(因为使用一个“迭代”的散列函数,比如md5()或者sha1(),我们无须把键值提供给散列函数,然后再运行散列函数处理我们的明文。在内部,散列值同样会这么处理,这就是我们把键值扩充到64字节的原因。)

4.最后我们通过运行散列函数处理opad.inner_result——即第3步获得结果,来创建“外部”散列。

你可能感兴趣的:(php)