用戶(hù)提交的數據

很多 PHP 程序所存在的重大弱點(diǎn)并不是 PHP 語(yǔ)言本身的問(wèn)題，而是編程者的安全意識不高而導致的。因此，必須時(shí)時(shí)注意每一段代碼可能存在的問(wèn)題，去發(fā)現非正確數據提交時(shí)可能造成的影響。

必須時(shí)常留意你的代碼，以確保每一個(gè)從客戶(hù)端提交的變量都經(jīng)過(guò)適當的檢查，然后問(wèn)自己以下一些問(wèn)題：

• 此腳本是否只能影響所預期的文件？
• 非正常的數據被提交后能否產(chǎn)生作用？
• 此腳本能用于計劃外的用途嗎？
• 此腳本能否和其它腳本結合起來(lái)做壞事？
• 是否所有的事務(wù)都被充分記錄了？

在寫(xiě)代碼的時(shí)候問(wèn)自己這些問(wèn)題，否則以后可能要為了增加安全性而重寫(xiě)代碼了。注意了這些問(wèn)題的話(huà)，也許還不完全能保證系統的安全，但是至少可以提高安全性。

還可以考慮關(guān)閉 register_globals，magic_quotes 或者其它使編程更方便但會(huì )使某個(gè)變量的合法性，來(lái)源和其值被搞亂的設置。在使用 PHP 開(kāi)發(fā)時(shí)，可以使用 error_reporting(E_ALL) 模式幫助檢查變量使用前是否有被檢查或被初始化，這樣就可以防止某些非正常的數據的撓亂了。