简述

那时现代人、合作开发者和民营企业比过往任何人这时候都更为指出 PHP 是一类死而复生的词汇，它可能将在 IT/合作开发当今世界中没用武之地。不过，PHP 是现今仍在采用的最盛行的编程词汇众所周知。它被数以千计的中文网站采用，大约占大部份中文网站的 80%，主要包括网络上的许多著名中文网站。PHP 依然主导力量着服务端 Web 合作开发，与此同时依然灵巧且适应环境合作开发者的市场需求。

尽管 PHP 是一类十分强悍的词汇，但假如采用不当，它也可能将十分不安全可靠。在责任编辑中，他们将探讨 PHP 安全可靠性的七个最差课堂教学，它将有利于为保护您的中文网站免遭骇客和蓄意使用者的侵犯。

PHP 安全可靠的 8 个最差课堂教学

1.仍旧采用新一代版的PHP

具体来说，请仍旧升用的 PHP 是新一代的！ases。

2.恰当实用性PHP.ini文档和其它先决条件

都行由你，绝大多数安全可靠漏洞都源自严重错误实用性。您能对 PHP.ini 文档展开许多更动以令其更安全可靠，但具体来说，让他们从须要特别针对您的某一控制系统展开订制的以下增设已经开始：

会话.save_path

session.cookie_path（比如/var/www/mysite）

session.cookie_domain

恰当实用性这些增设后，您能编辑其它许多增设以确保 PHP 应用程序的安全可靠。让他们看看下面的清单：

这限制了在 HTTP 标头中发送 PHP 版的披露。启用后，expose_php 会告诉大部份人 PHP 已安装在该特定服务器或控制系统上，其中主要包括 HTTP 标头中的 PHP 版，比如（技术支持：PHP/8.1.2）。您能为任何人控制系统执行此操作，并且假如您采用的是 nginx，则效果很好。

将此增设为关闭可防止远程代码执行攻击。

这显示是否应该在屏幕上向访问该站点的每个人打印严重错误。作为最差安全可靠课堂教学，这应该被禁用。

将此增设为 1 将禁用通过 Javascript API 访问 cookie，但请谨慎采用，因为你可能将会破坏某些东西

将此增设为 1 可防止会话固定攻击

这要求 cookie 只能通过 HTTPS 严格传输

将此增设为严格可防止跨源攻击

这不是必需的，因此将其增设为零

在这里，他们增设会话字符串的长度以防止暴力攻击

这增加了会话字符串的随机性，也防止了暴力攻击

在这里，他们禁用文档上传。假如有人须要上传文档，您能通过执行 upload_max_filesize = 1M 来增设文档大小的限制

3. 采用新一代的代码依赖、第三方组件，并更新您的网络服务器！

除了采用新一代版的 PHP 之外，您还应该使您的代码和 Web 服务器保持新一代！这主要包括您正在采用的任何人第三方库或框架。过时的软件往往是攻击的目标，因为骇客知道它更有可能将存在可被利用的漏洞。您要确保只安装了必要的库并且大部份内容都是新一代的。假如您采用 Apache Web 服务器，那么这里有许多常见的最差课堂教学：

他们最喜欢的做法众所周知是安装 mod_evasive，因为它能帮助您的服务器在发生攻击时保持运行。另一个是采用 SSL 证书。假如您采用的是 Apache Web 服务器或任何人其它服务器，那么拥有 SSL 证书很重要，因为它会在收到包含主机标头的 HTTP 请求之前展开 SSL 握手。最终，它为在线通信提供了更高的安全可靠性。

4. 不要采用可逆加密存储密码

可逆加密之所以有害，有几个关键原因。具体来说，它很容易被破解和解密，使您的数据容易被盗或暴露。其次，它可用于监视或跟踪您的活动，因为加密和解密过程会留下清晰的活动痕迹。最后，它还能用于枚举大部份其它使用者密码，前提是有一个静态密钥用于加密和解密过程。

相反，您应该采用强悍的哈希算法对密码展开哈希处理，比如 bcrypt、采用 openssl 的 AES 双向加密，甚至是获得密码哈希奖的 Argon2。采用散列算法比加密算法更不容易受到攻击。由于查找明文（解密）等价物须要强悍的计算能力，这使得它在存储密码或其它敏感数据时更为安全可靠。此外，散列算法比加密算法快得多，使它更适合在速度很重要的应用程序中采用。PHP 已经内置了 bcrypt，因此您不必担心下载任何人外部依赖项。

5. 不要依赖 cookie 来保证安全可靠

Cookie 通常用于存储有关使用者的信息，比如他们的登录状态、使用者名、偏好甚至敏感信息。但是，cookie 本身并不安全可靠，很容易被攻击者窃取。假如您须要在 cookie 中存储敏感数据，您应该先对其展开加密。就像密码哈希一样，他们正在添加另一层安全可靠性。您能采用由 libsodium 提供支持的 halite 等工具，或者假如您想要更多技术，您能采用 openssl 之类的工具，甚至能采用带有 CBC 模式加密的 AES 256 位。

6.验证使用者输入

大部份使用者输入都应在 PHP 代码处理之前展开验证。这主要包括输入到表单字段、URL 参数和 JSON 有效负载中的数据。PHP 有 filter_var() 函数来验证变量。他们能将它的第二个参数增设为不同的值，并采用它来验证电子邮件、URL、整数等，该函数在失败或输入无效时返回 false。能在下面的示例中看到实现 filter_var() 函数的方法：

function is_valid_email($email = “”)

{

return filter_var(trim($email), FILTER_VALIDATE_EMAIL);

}

7.定期展开安全可靠审计

定期安全可靠审核能帮助识别您中文网站中的漏洞并在它被攻击者利用之前修复它。通过审核您的代码，您

还能确保它是新一代的并遵循 ​PHP 安全可靠性的最差课堂教学。此外，它能帮助您获得更快的响应时间、更可靠的应用程序性能，并消除瓶颈，让您的 Web 应用程序面向未来。执行审核能扫描下列内容，比如：

8. 采用 PHP 库

PHP 很好地为合作开发者提供了许多功能，这意味着它为他们提供了能用来更好地为保护他们的应用程序的功能。您能采用下列内容：

urlencode – 允许编码人员安全可靠地构建有效的 URL。根据 PHP 文档，该函数可用于对将在 URL 的查询部分中采用的字符串展开编码。

<?php

echo <a href=”mylink?user=, urlencode($userID), ”>;

？>

采用准备好的 SQL 语句，如下所示：

结论

遵循这些最差课堂教学将帮助您为保护 PHP 应用程序免遭攻击。请记住，仍旧保持您的软件处于新一代状态，恰当实用性您的 Web 服务器和 PHP，并确保执行定期安全可靠审核以识别可能将已被遗漏的任何人漏洞十分重要！