Terrysco's Blog » security

PHP Architect’s Guide to PHP Security [3]

terrysco — Sun, 04 Jan 2009 08:02:39 +0000

今天继续翻译PHP Architect's Guide to PHP Security这本书的第三章《SQL注入》。由于第二章XSS有专门的书籍介绍，以后会专门翻译，所以暂时跳过XSS，先对SQL Injection进行介绍。

SQL注入是另一种常见的漏洞（针对XSS来说），是由于对输入数据过滤不严导致的。它不像XSS是直接针对站点的用户，而是直接破坏站点本身，特别是数据库。SQL注入的目的是插入任意数据，常常是插入一条被数据库执行的SQL语句。这些潜伏的被插入语句常常执行很多操作，从获取数据到更改或删除数据库信息。

...

关于drupal安全

terrysco — Thu, 06 Nov 2008 20:59:33 +0000

大家都知道php编码漏洞造成的问题严重性，而drupal恰恰是用PHP实现的。幸好drupal有很多的内置方法帮我们处理一些安全方面的问题，只要熟悉就能很大程度确保安全。

form表单提交过来的数据本来是可以构造的，但drupal给我们提供了一个token机制，提交后会判断值是否为表单内置的几个值其中之一，这样就为checkbox，select等控件提供了一定安全保障。

另外drupal数据流的原则是原样保存到数据库中，输出的时候做过滤和转义。也就是说不管用户输入什么数据，包括html字符等等，只要我们使用drupal的内置db接口，就不会有问题，原样保存，输出的时候如果是文本数据用check_plain()函数做下处理，基本就没什么问题了，至于需要一些简单的样式或者需要特定的html字符，我们用filter_xss()函数即可处理。

...

PHP Architect’s Guide to PHP Security [2]

terrysco — Thu, 09 Oct 2008 02:04:11 +0000

White List Validation （白名单验证）
Being Careful with File Uploads （文件上传时要小心）
File Content Validation （文件内容验证）
Accessing Uploaded Data （访问上传数据）
The Dangers of Magic Quotes （Magic Quotes的危险性）
Magic Quotes Normalization （Magic Quotes正规化）
...

PHP Architect’s Guide to PHP Security [1]

terrysco — Fri, 26 Sep 2008 16:29:55 +0000

这几天稍微轻松点，就再看了一次PHP Architect's Guide to PHP Security这本经典PHP安全书籍。其中整理了一些笔记之类的东西，分享给大家。都是个人组织和翻译的东西，如果有不周到的地方还请广大安全爱好者给出批评和指正。本来想逐字翻译全文，但是这是一个浩大的工程，并且学习意义不大，所以挑选一些重要的内容进行翻译和注释。

...