PHP代码审核的详细介绍
更新时间:2013年06月13日 16:33:36 投稿:jingxian
本篇文章是对PHP代码审核进行了详细的分析介绍,需要的朋友参考下
概述
代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险
代码审核不是简单的检查代码,审核代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。
审核人员可以使用类似下面的问题对开发者进行访谈,来收集应用程序信息。
应用程序中包含什么类型的敏感信息,应用程序怎么保护这些信息的?
应用程序是对内提供服务,还是对外?哪些人会使用,他们都是可信用户么?
应用程序部署在哪里?
应用程序对于企业的重要性?
最好的方式是做一个 checklist,让开发人员填写。Checklist 能比较直观的反映应用程序的信息和开发人员所做的编码安全,它应该涵盖可能存在严重漏洞的模块,例如:数据验证、身份认证、会话管理、授权、加密、错误处理、日志、安全配置、网络架构。
输入验证和输出显示
大多数漏洞的形成原因主要都是未对输入数据进行安全验证或对输出数据未经过安全处理,比较严格的数据验证方式为:对数据进行精确匹配
接受白名单的数据
拒绝黑名单的数据
对匹配黑名单的数据进行编码
在 PHP 中可由用户输入的变量列表如下:
$_SERVER
$_GET
$_POST
$_COOKIE
$_REQUEST
$_FILES
$_ENV
$_HTTP_COOKIE_VARS
$_HTTP_ENV_VARS
$_HTTP_GET_VARS
$_HTTP_POST_FILES
$_HTTP_POST_VARS
$_HTTP_SERVER_VARS
我们应该对这些输入变量进行检查
相关文章
windows环境下php配置memcache的具体操作步骤
本篇文章是对windows环境下php配置memcache的具体操作步骤进行了详细的分析介绍,需要的朋友参考下2013-06-06
array_merge()函数在php中是对数组进行合并的,可以把多个数组合成一个数组,并且不改变原数组(www.111cn.net)的值了,但今天我在使用array_merge合并数组时碰到几个小细节上的问题,下面我举例子给各位朋友看看2014-06-06
开启Gzip是需要服务器支持的,在这里我们简单的使用php来判断服务器是否支持Gzip功能,具体如下,感兴趣的朋友可以参考下2013-09-09
本文给大家分享的是在discuz论坛中上传多张图片,直接发表帖子的时候图片顺序有时候会乱掉的解决办法,十分的简单,有需要的小伙伴可以参考下。2015-07-07
这篇文章主要介绍了PHP简单实现冒泡排序的方法,结合实例形式分析了php冒泡排序的实现与使用技巧,需要的朋友可以参考下2016-12-12
这篇文章主要为大家介绍了php使用strtotime技巧示例解惑,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-09-09
当用双引号或heredoc定义字符串直接量时,字符串服从变量替换(variable interpolation)规则。替换即在字符串中用变量的值来替换变量名,也就是说在字符串中会自动进行变量解析。2009-07-07
tesseract-ocr是一个流行的开源OCR引擎库,它使用C++编写, PHP作为一种流行的服务器端语言,也提供了一些ocr识别的库和工具,可以通过tesseract-ocr识别PDF、JPEG、GIF、PNG等格式的图像, tesseract-ocr的最大特点是它是针对多语言设计的,可以识别世界上大部分语言的文本2024-04-04
9个非常有用的PHP类库,相信一定可以为你的WEB开发提供更好和更为快速的方法。2010-11-11
这篇文章主要介绍了PHP实现通过文本文件统计页面访问量功能,涉及php文件读写、数值计算及图形操作相关实现技巧,需要的朋友可以参考下2019-02-02
最新评论