久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

Discuz:插件代碼的安全規(guī)范

來(lái)自站長(zhǎng)百科
跳轉(zhuǎn)至: 導(dǎo)航、? 搜索

Discuz! 6.0|Discuz! 6.0安裝|Discuz! 6.0使用|Discuz! 6.0風(fēng)格模板|Discuz! 6.0插件|Discuz! 6.0升級(jí)|Discuz! 6.0開(kāi)發(fā)|Discuz! 6.0 FAQ

Discuz插件代碼的安全規(guī)范,總的來(lái)說(shuō) PHP 還是相對(duì)安全的 Web 程序,但是由于一些代碼在處理方式上的不成熟導(dǎo)致了安全隱患.由于這個(gè)議題范圍太廣,所以推薦 PHPCHINA 的Essential PHP Security -PHP安全基礎(chǔ) 一書(shū)給大家,希望對(duì)大家有幫助。更詳細(xì)的 PHP 安全信息可以登錄 php.net 查找。

那么,對(duì)于插件安全究竟我們要做些什么怎么做?

1、變量的初始化

這里不討論 magic_quotes_gpc 和 register_globals 的設(shè)置情況,大家只要注意不要“無(wú)中生有”變量,每個(gè)變量的得到都是自己初始化過(guò)的。

2、邏輯關(guān)系清楚

對(duì)于邏輯的判定不是一句話能夠說(shuō)明白的,舉個(gè)簡(jiǎn)單的例子,在判斷上傳文件的時(shí)候,我們判斷的依據(jù)是他的后綴是否在我們?cè)试S的后綴里面,如果是允許的就執(zhí)行上傳,反之就提示上傳文件后綴不對(duì),但是如果用戶上傳的文件名是 webshell.xxx.mht(允許mht 文件上傳,mht 是一種網(wǎng)頁(yè)存儲(chǔ)格式),于是文件上傳了,在 apache 系統(tǒng)的默認(rèn)配置下,這個(gè)文件是會(huì)用 PHP 來(lái)解析的,利用這個(gè)算是 BUG 的問(wèn)題吧,小版本人就曾伙同PHP安全界知名人士(幫他匿了)對(duì)我們學(xué)校的服務(wù)器完成了入侵,并最終取得了 root 權(quán)限(目前俺們學(xué)校的服務(wù)器已經(jīng)修正此問(wèn)題),舉這個(gè)例子是為了說(shuō)明程序處理的重要性,如果當(dāng)時(shí)多一步判斷上傳的文件,也許這個(gè)安全問(wèn)題就不再存在,其實(shí)這個(gè)例子來(lái)說(shuō)明邏輯關(guān)系并不是很合適,但是程序處理真的是一個(gè)非常重要的部分。

3、' '與" "的區(qū)別運(yùn)用

單引號(hào)中,任何變量($var)、特殊轉(zhuǎn)義字符(如“\t \r \n”等)不會(huì)被解析,因此PHP的解析速度更快,轉(zhuǎn)義字符僅僅支持“\’”和“\\”這樣對(duì)單引號(hào)和反斜杠本身的轉(zhuǎn)義;

雙引號(hào)中,變量($var)值會(huì)代入字符串中,特殊轉(zhuǎn)義字符也會(huì)被解析成特定的單個(gè)字符,還有一些專門針對(duì)上述兩項(xiàng)特性的特殊功能性轉(zhuǎn)義,例如“\$”和“{$array[‘key’]}.這樣雖然程序編寫更加方便,但同時(shí)PHP的解析也很慢;

數(shù)組中,如果下標(biāo)不是整型,而是字符串類型,請(qǐng)務(wù)必用單引號(hào)將下標(biāo)括起,正確的寫法為 $array[‘key’],而不是 $array[key],因?yàn)椴徽_的寫法會(huì)使PHP解析器認(rèn)為key是一個(gè)常量,進(jìn)而先判斷常量是否存在,不存在時(shí)才以“key”作為下標(biāo)帶入表達(dá)式中,同時(shí)出發(fā)錯(cuò)誤事件,產(chǎn)生一條 Notice 級(jí)錯(cuò)誤。

因此,在絕大多數(shù)可以使用單引號(hào)的場(chǎng)合,禁止使用雙引號(hào).依據(jù)上述分析,可以或必須使用單引號(hào)的情況包括但不限于下述:

字符串為固定值,不包含“\t”等特殊轉(zhuǎn)義字符;

數(shù)組的固定下標(biāo),例如$array[‘key’];

表達(dá)式中不需要帶入變量,例如$string = ‘test’;而非$string = “test$var”;

4、數(shù)據(jù)的過(guò)濾與處理

對(duì)于任何得到的數(shù)據(jù)在不能確定或者不能充分確定其來(lái)路的時(shí)候一定要進(jìn)行過(guò)濾與處理,在數(shù)據(jù)進(jìn)入程序運(yùn)行處理階段之前,一定要保證它的準(zhǔn)確性和正確性。

5、不要相信任何數(shù)據(jù)的準(zhǔn)確性和正確性

這條視乎是和上面一條雷同,但是即使是從數(shù)據(jù)庫(kù)中查出來(lái)的數(shù)據(jù)也一樣不能確定,比如生成 cache 文件,如果用戶 POST 的數(shù)據(jù)錯(cuò)誤不是我們期望的數(shù)據(jù),而“恰巧”生成到文件中,于是一個(gè)webshell產(chǎn)生了,同樣這個(gè)例子也不是很合適,我只是希望大家明白這么一點(diǎn),如果我們沒(méi)有一個(gè)很好的處理數(shù)據(jù)的方式,那么代碼的安全崩潰也就指日可待。

6、不要妄圖直接把低版本的 Discuz! 插件直接運(yùn)行

由于每個(gè)大版本的升級(jí)都會(huì)帶來(lái)系統(tǒng)構(gòu)架的一些變化,可能舊版本的插件仍然可以使用,但是或許一些不可預(yù)料的問(wèn)題正在隱藏中,所以建議任何低版本的 Discuz! 插件最好是經(jīng)過(guò)仔細(xì)研究之后再公告說(shuō)可以適用新版本 Discuz! 插件。

參考來(lái)源[ ]

Discuz! 6.0使用手冊(cè)導(dǎo)航

Discuz! 6.0安裝:

Discuz! 6.0產(chǎn)品概況| Discuz! 6.0環(huán)境要求| Discuz! 6.0安裝詳細(xì)過(guò)程| Discuz! 6.0文件及目錄結(jié)構(gòu)| Discuz! 6.0安裝的常見(jiàn)問(wèn)題| 附錄 如何在Discuz上安裝個(gè)人空間SupeSite/x-space指南| 附錄 論壇一鍵式安裝Discuz!EXP及EasyDiscuz指南| 附錄 discuz本地運(yùn)行環(huán)境構(gòu)建(windows)

Discuz! 6.0使用:

Discuz! 6.0日常使用| Discuz! 6.0 config.inc.php配置問(wèn)題| Discuz! 6.0前臺(tái)管理操作說(shuō)明| Discuz! 6.0用戶權(quán)限設(shè)定| Discuz! 6.0服務(wù)器相關(guān)| Discuz! 6.0后臺(tái)基本設(shè)置| Discuz! 6.0后臺(tái)論壇管理| Discuz! 6.0后臺(tái)用戶管理| Discuz! 6.0后臺(tái)帖子管理| Discuz! 6.0后臺(tái)擴(kuò)展設(shè)置| Discuz! 6.0后臺(tái)其它設(shè)置| Discuz! 6.0后臺(tái)社區(qū)營(yíng)銷| Discuz! 6.0后臺(tái)系統(tǒng)工具

Discuz! 6.0風(fēng)格模板

Discuz!6.0風(fēng)格制作| Discuz!6.0界面風(fēng)格與模板定制| Discuz!6.0風(fēng)格高級(jí)應(yīng)用| Discuz!6.0頭部模板header詳解| Discuz!6.0頁(yè)腳模板footer詳解

Discuz! 6.0插件

Discuz!6.0插件簡(jiǎn)介| Discuz!6.0插件安裝| Discuz!6.0插件列表

Discuz! 6.0升級(jí)

Discuz!6.0升級(jí)指南| Discuz!6.0階段升級(jí)說(shuō)明| Discuz!6.0版本更新記錄

Discuz! 6.0開(kāi)發(fā)

Discuz!6.0插件設(shè)計(jì) | Discuz!6.0插件設(shè)置及管理| Discuz!6.0插件的鉤子使用技巧| Discuz!6.0插件代碼的安全規(guī)范| Discuz!6.0PassPort接口技術(shù)文檔

Discuz! 6.0 FAQ

Discuz!6.0經(jīng)驗(yàn)技巧| Discuz!6.0防御CC攻擊說(shuō)明| Discuz!6.0搜索引擎優(yōu)化| Discuz!6.0論壇程序