php安全

1、把握整站的结构，避免泄露站点敏感目录
    网站根目录下放上一个入口点文件，让它来对整个网站所有页面进行管理，任何页面只是act的一个参数，在得到这个参数后，再用一个switch来选择要包含的文件内容。在这个入口点文件中，还可以包含一些常量的定义，比如网站的绝对路径、网站的地址、数据库用户密码。以后我们在脚本的编写中，尽量使用绝对路径而不要使用相对路径（否则脚本如果改变位置，代码也要变），而这个绝对路径就来自入口点文件中的定义。

    当然，在安全性上，一个入口点文件也能隐藏后台地址。像这样的地址http://localhost/?act=xxx不会暴露后台绝对路径，甚至可以经常更改，不用改变太多代码。一个入口点文件也可以验证访问者的身份，比如一个网站后台，不是管理员就不允许查看任何页面。在入口点文件中就可以验证身份，如果没有登录，就输出404页面。

有了入口点文件，我就把所有非入口点文件前面加上了这句话：
<?php if(!defined('WWW_ROOT')) {header("HTTP/1.1 404 Not Found"); exit;} ?>
WWW_ROOT是我在入口点中定义的一个常量，如果用户是通过这个页面的绝对路径访问（http://localhost/register.php），我就输出404错误；只有通过入口点访问（http://localhost/?act=register），才能执行后面的代码。

2、使用预编译语句，避免sql注入
在php中，对于mysql数据库有两个模块，mysql和mysqli，mysqli的意思就是mysql improve。mysql的改进版，这个模块中就含有“预编译”这个概念。像上面那个sql语句，改一改：select * from admin where username='?' password='?'，它就不是一个sql语句了，但是可以通过mysqli的预编译功能先把他编译成stmt对象，在后期用户输入账号密码后，用stmt->bind_param将用户输入的“数据”绑定到这两个问号的位置。这样，用户输入的内容就只能是“数据”，而不可能变成“代码”。

    这两个问号限定了“数据”的位置，以及sql语句的结构。我们可以把我们所有的数据库操作都封装到一个类中，所有sql语句的执行都进行预编译。这样就完全避免了sql注入

3、预防XSS代码，如果不需要使用cookie就不使用
    在我的网站中并没有使用cookie，更因为我对权限限制的很死，所以对于xss来说危险性比较小。

    对于xss的防御，也是一个道理，处理好“代码”和“数据”的关系。当然，这里的代码指的就是javascript代码或html代码。用户能控制的内容，我们一定要使用htmlspecialchars等函数来处理用户输入的数据，并且在javascript中要谨慎把内容输出到页面中。

4、限制用户权限，预防CSRF
如：
A、B都是某论坛用户，该论坛允许用户“赞”某篇文章，用户点“赞”其实是访问了这个页面：http://localhost/?act=support&articleid=12。这个时候，B如果把这个URL发送给A，A在不知情的情况下打开了它，等于说给articleid=12的文章赞了一次。

所以该论坛换了种方式，通过POST方式来赞某篇文章。
<form action="http://localhost/?act=support" method="POST">
  <input type="hidden" value="12" name="articleid">
  <input type="submit" value="赞">
</form>
可以看到一个隐藏的input框里含有该文章的ID，这样就不能通过一个URL让A点击了。但是B可以做一个“极具诱惑力”的页面，其中某个按钮就写成这样一个表单，来诱惑A点击。A一点击，依旧还是赞了这篇文章。

最好的方式，就是在表单中加入一个随机字符串token（由php生成，并保存在SESSION中），如果用户提交的这个随机字符串和SESSION中保存的字符串一致，才能赞。

    在B不知道A的随机字符串时，就不能越权操作了。

    在网站中使用TOKEN，不管是GET方式还是POST方式，通常就能抵御99%的CSRF估计了。

5、严格控制上传文件类型

6、加密混淆javascript代码，提高攻击门槛
    很多xss漏洞，都是黑客通过阅读javascript代码发现的，如果我们能把所有javascript代码混淆以及加密，让代码就算解密后也是混乱的（比如把所有变量名替换成其MD5 hash值），提高阅读的难度。

7、验证码安全性