安全问题:编写安全的PHP代码

作为网站的所有者或从业者无不希望自己的网站可以安全的运营，然而很多时候网站开发时的一点小疏忽，很可能成为网站巨大的安全隐患。如今web开发的工具和语言有很多，PHP便是其中一种。PHP语言本身具有无可比拟的安全特征，但却没有引起广大网站开发者的重视。网站安全可以保证企业员工敏感数据的安全，甚至能有效的阻止服务器遭劫持等问题。以下笔者将对使用PHP开发时的几点建议和大家讨论，希望可以带给用户一些帮助。

　　首先，最重要的事情就是要弄清各种变量和用户输入数据。许多你不曾注意的变量本身很可能成为恶意软件程序传播感染的极佳途径。我们可以假设在你的网站上存在一些不是太安全的代码，但却运行正常。攻击者发掘这些漏洞后可以肆无忌惮的在你的网站中进行破坏活动。不要小看这些不起眼的变量名，这些漏洞一旦被黑客利用，其不仅仅是删除文件而且删除整个密码系统或其它敏感信息，最终可能对服务器的正常运转造成巨大的伤害。

　　网站管理员对所有从外部输入的文件必须检查其内容是否存在恶意代码，同时数据库安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式，这里不做详细阐述，用户如果希望了解数据库安全信息，我会按需求详细介绍。

　　Magic Quotes

　　Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开，也可以将NULL字节从用户的输入信息中分开。当开启Magic Quote时的一个问题是你是否希望你的用户进行引号过滤。如果你关闭Magic Quote的话可以在“runtime”中分析到用户输入数据的字符串。

　　如果你对PHP还不熟悉，我建议你开启这一功能直到你学会了怎么样分析和表现用户输入的数据。我个人建议使用我编写的“清除”功能。我将会给你提供一个模板，这样你就可以自己编写一个清除功能了。

function clean($string)       { 　　$string = stripslashes($string); 　　$string = htmlentities($string); 　　$string = strip_tags($string); 　　return $string; 　　} 　　?>