论PHP网站设计中信息安全防御措施

・

网络地带　

论ＰＨＰ网站设计中信息安全防御措施　

耿仲华（吉林铁道职业技术学院计算机科学技术系，吉林吉林１３２００１）　

摘　要：互联网的发展，给人们带来了方便的同时，也暴露了一些问题，尤其是黑客的非法入侵，往往是人们无法正常的使用网络，所以在　

ＰＨＰ网站代码编写过程中一定要做好网站设计中信息安全防御措施。　

关键词：ＰＨＰ网站设计；信息安全；防御措施　

近年来互联网技术在全球迅猛，网络所具有开放性与共　共文件，那么就修改这样的选项：ｓａｆｅ　ｍｏｄｅ　ｉｎｃｌｕｄｅ　ｄｉｒ＝　

享性的特点，尤其是ｗＥＢ页面中是文本、声音、图像、动画、视像　

Ｄ：／ｕｓｒ／ｗｗｗ／ｉｎｃｌｕｄｅ／￣　

等各种各样媒体信息集于一体，不但使信息得到了更加生动的　

假设要控￥￣ＪＰＨＰ脚本只能访问指定的目录，使用ｏｐｅｎ

显示，而且给浏览信息的人提供了更为方便，使得更多的人通过　ｂａｓｅｄｉｒ选项能够控制，达到了避免ＰＨＰ脚本访问不应该访问　

ＷＥＢ页实现网上交易、资料传输、视频对话、客户信息反馈等等　的文件，在一定程度上，就限制了ｐｈｐｓｈｅｌｌ存在的危害。假设　

方面的功能，给人们提供了极大的方便。但是在信息化带给给　开发人员、数据库架构师和系统管理员已经安装了一套第三方　

…人们种种物质和各种新闻文化享受的时候，也暴露出网络的　

应用程序的ＰＨＰ脚本，而且该脚本用于安装整个应用程序的工　

安全威胁，包括网络的黑客的侵袭、数据窃贼、病毒发布者，以　

作组件，同时还提供一个接入点。安装脚本大多数第三方软件　

及系统内部的泄密者等网络威胁。而作为ＰＨＰ技术，是一种ＨＴＭＬ　

包都建议在安装后删除目录下的脚本。对于开发人员、数据库　

内嵌式的语言，嵌入ＨＴＭＬ文档在服务器端执行的脚本语言，语　架构师和系统管理员希望保留安装脚本，那么他们可以创建一　

言的风格有近似于ｃ语言、Ｊａｖａ、Ｐｅｒｌ，是一个相对比较稳定　个ｈｔａｃｃｅｓｓ文件：　

的、廉价的运行基于ｗｅｂ应用程序的平台，目前被众多的网站编　

ＡｕｔｈＴｙｐｅ　Ｂａｓｉｃ　

程人员运用于网站设计中。但是ＰＨＰ容易受到外部攻击是显而　

ＡｕｔｈＮａｍｅ　‘‘Ａｄｍｉｎｉｓｔｒａｔｏｒｓ　Ｏｎｌｙ＂　

易见的。作为对网站设计的开发人员、数据库架构师，以及系统　

ＡｕｔｈＵｓｅｒＦｉｌｅ／ｕｓｒ／ｌｏｃａｌ／ａｐａｃｈｅ／ｐａｓｓｗｄ／ｐａｓｓｗｏｒｄｓ　

管理员在部署ＰＨＰ应用程序到服务器之前都应做好信息安全防　

Ｒｅｑｕｉｒｅ　ｖａｌｉｄ—ｕｓｅｒ　

御措施。　

来控制管理访问目录。对于没有经过任何授权的用户，要　

１　ｐｈｐ的安全模式下的目录控制　

试图访问一个受保护的目录，网页就会弹出一个提示，要求用　

木马程序是一种以窃取本机信息或者控制权的程序，具有　

户输入该目录的用户名和密码。而且密码要求的匹配必须是指　

自发性的可被用来进行恶意行为，危机电脑的信息安全，如盗　

定的“ｐａｓｓｗｏｒｄｓ”文件中的密码。　

取ＱＱ帐号、游戏帐号甚至银行帐号，占用电脑的系统资源，并且　

Ｐｈｐ程序中改名“ｄｅｄｅ”管理目录，隐藏好后台，即使别　

降低电脑效能，而且以本电脑作为工具来攻击其他设备等恶性　

人获得了你的管理员账号、密码，由于不存在后台他也无从登　

行为。如美国黑客技术讨论会上由～个黑客组织推出的“特洛　

录。　

伊木马”程序，该程序就具有强烈的控制权的程序，假设启动　

１是在／ｄｅｄｅ／ｃｏｎｆｉｇ．ｐｈｐ里，找到如下行：　

服务器端（被攻击的计算机）的服务器程序，往往就会使用相　

１／／检验用户登录状态２￥Ｃｕ　Ｓ　ｅｒＬ　０　ｇｉ　ｎ＝ｎ　ｅｗ　

应的客户端工具客户程序直接控制它了。也就是本机直接启动　

ｕｓｅｒＬｏｇｉｎ（）：３　ｉｆ（￥ｃｕＳｅｒＬｏｇｉｎ一＞ｇｅｔＵ　ＳｅｒＩＤ（）＝＝一　

运行的程序拥有与使用者相同的权限。　

１）４｛５　ｈｅａｄｅｒ（　ｌｏｃａｔｉｏｎ：ｌｏｇｉｎ．ｐｈｐ？ｇｏｔｏｐａｇｅ＝　．　

采取的措施：为了防止ｐｈｐｓｈｅｌｌ与ＳＱＬ　Ｉｎｊｅｃｔｉｏｎ对网站　

ｕｒ１ｅｎｃｏｄｅ（￥ｄｅｄｅＮｏｗｕｒ１））；６）　

的攻击，那么我们就需要配置ｐｈｐ．ｉｎｉ中的内容，ｐｈｐ的默认配　

把这些代码改为：　

置文件一般都在／ｕｓｒ／ｌｏｃａ１／ａｐａｃｈｅ２／ｃｏｎｆ／ｐｈｐ．ｉｎｉ中，那么　

１／／检验用户登录状态２￥Ｃ　ｕ　Ｓ　ｅ　ｒ　Ｌ　０　ｇ　ｉ　ｎ＝ｎ　ｅ　ｗ　

我们就应该使用编辑工具打开／ｅｔｃ／ｌｏｃａｌ／ａｌｐａｃｈｅ２／ｃｏｎｆ／ｐｈｐ．　

ｕｓｅｒＬｏｇｉｎ（）：３　ｉｆ（￥ＣＵＳｅｒＬｏｇｉｎ一＞ｇｅｔＵｓｅｒＩＤ（）一１）４　

ｉｎｉ这里面的文件，ｐｈｐ的安全模式能够控制一些ｐｈｐ中的函　

｛５　／／ｈｅａｄｅｒ（　ｌｏｃａｔｉｏｎ：ｌｏｇｉｎ．ｐｈｐ？ｇｏｔｏｐａｇｅ＝　．　

数，￣Ｉｓｙｓｔｅｍ（），同时ｐｈｐ的安全模式还能够把很多文件操作函　

ｕｒｌｅｎｃｏｄｅ（ＳｄｅｄｅＮｏｗｕｒ１））：６　ｈｅａｄｅｒ（　ＨＴＴＷ１．０　４０４　Ｎｏｔ　

数进行了权限控制，并且也不允许对某些关键文件的文件，如／　

Ｆｏｕｎｄ　）：７　ｅｘｉｔ（）：８　Ｊ　

ｅｔｃ／ｐａｓｓｗｄ，假设在安全模式下指定要执行程序主目录：ｓａｆｅ—　

２是修改／ｄｅｄｅ／ｌｏｇｉｎ．ｐｈｐ的文件名称，并对应的修改／　

ｍｏｄｅ　ｅｘｅｃ　ｄｉｒ＝Ｄ：／ｕｓｒ／ｂｉｎ。　但是通常我们是不需要执行什　

ｄｅｄｅ／ｔｅｍｐｌｅｔｓ／ｌｏｇｉｎ．ｈｔｍ里的表单提交地址；　

么程序的，所以推荐不要执行系统程序目录，这样就可以指向　

３是修改／ｄｅｄｅ／的目录名称；这样陌生人在没有登录前，只　

一

个目录，然后把需要执行的程序拷贝过去，如：ｓａｆｅ—ｍｏｄｅ—　

能访问／ｄｅｄｅ／ｌｏｇｉｎ．ｐｈｐ改名后的地址，访问其他地址，只会获　

ｅｘｅｃ　ｄｉｒ＝Ｄ：／ｔｍｐ／ｃｍｄ。假设要在安全模式下，要求包含某些公　

得４０４错误信息。　

２关闭注册全局变量　

作者简介：耿仲华（１９６０．卜），男，江苏省丹阳市人，吉林铁道　

在ＰＨＰ中提交的变量，我们经常使用ＰＯＳＴ或者ＧＥＴ提交的　

职业技术学院计算机科学技术系，职称：讲师，研究方向：计算　

变量，这些变量都将自动注册为全局变量，能够直接访问。而　

机网络安全。　

ＰＨＰ．ｉｎｉ文件中包含的设置是“ｒｅｇｉｓｔｅｒ—ｇｌｏｂａｌｓ”。Ｐ服务器　

（下转第２４页）　

２２日圜曰圆　

・

网络地带　

场、顾客型态、产品种类与以往会有很大的差异，因此如何跨　

开放式的大市场，网络营销消除了企业竞争的无形壁垒。主要　

越地域、文化、时空差距，再造顾客关系，将会需要许多创新的　

体现在降低中小企业和新兴企业进入市场的初始成本上。中小　

营销作为。　

企业无须庞大的商业体系，无须巨大的广告费用，无须众多的销　

售人员，就可以加入到全球国际大市场中参与市场竞争，接触　

２．５跨国经的必要性　

在过去分工经营时期，企业只需专注在本企业与本地市　

这个市场中广大的客户。这样使得中小企业可以从以前被大企　

场，国外市场则委由代理商或贸易商经营即可。但互联网络跨　

业垄断的市场份额中分取一杯羹。网上的客户关心的不是企业　

越时空连贯全球的功能，己使得全球营销的成本远远低于地区　

的大小，而是该企业给他们提供的产品或服务的价值。如果该　

营销，因此企业将不得不进入跨国经营的时代。网络时代的企　

企业有绝对的优势，无论企业大小，客户都会选择其产品或服　

业，不但要熟悉跨国市场顾客的特性、争取信任与满足他们的　

务。所以网络营销能充分发挥中小企业自身的优势。　

需求，不要安排跨国生产、运输与今后服务等，安排这些跨国业　

４结语　

务都是经由网络来联系与执行。　

“世界在变化，我们的思想和行动也要随之而变。过去把　

自己封闭起来，自我孤立，这对社会主义有什么好处呢？历史有　

３开展网络营销的有利因素分析　

网络营销利用了网络手段与技术，面向特殊的网上市场环　

前进，我们却停滞不前，就落后了。马克思说过，科学技术是生　

境，可以使从生产者到消费者的价值交换更便利，更充分，更有　

产力，事实证明这话讲的很对。依我看，科学技术是第一生产　

效率。这对中小企业特别有利，具体说来，主要表现在以下几个　

力。”这一段话，是人人所熟悉的，也是中国改革开放政策的最　

方面：　

佳注解。互联网络是当前人类社会最重要的科技发展，也是最　

化为动力，认清加网络营销面临的挑战，进一步完善网络营销，　

首先，在营销手段上有利于与大企业开展同步竞争。互联　

具经济潜力的应用科技。物在运动中前进，矛盾在解决过程中　

网作为全球性的分布式网络构架，其重要特点就是成本低廉。　

其次，比起印刷和电视这样的媒介，借助互联网进行信息传播　

加快推进网络营销转型升级的步伐才能使之为我国经济的腾飞　

不仅效率高，而且成本极其低廉。第三，网络上品质线索的缺　

做出更大的贡献。　

少，使得互联网上最小的、刚起步的公司看上去也能像是一个巨　

大的跨国公司。因此，信息技术的发展，特别是互联网的发展，　

［参考文献］　

使中小企业能够很快地建立一个网上竞争平台。企业无论大　

［１１￣１］宝成．《现代营销学》对外经济贸易大学出版社，２００４年　

小，都可以通过其网站使世界各个角落的买家了解其产品，只　

［２］陈月波．《电子商务概论》清华大学出版社，２００２年．

要产品具有竞争力，就可以在全球范围内找到买主。因而在营　

销手段上，中小企业可以与大企业进行平等的同步竞争。　

［３］王汝林．《网络营销战略》清华大学出版社，２００２年．　

［４］唐德　钱敏，等．《营销创新》东南大学出版社，２００２年．　

［５］叶晓宏．《新经济一新商务》中国国际广播出版社，２００１年．　

其次，在市场进入条件上的机会是均等的。互联网是一个　

（上接第２２页）　

ｐｏｐｅｎ，ｐｈｐｉｎｆｏ￣／Ｎ果你要禁止任何文件和目录的操作，那　

往往会根据ｒｅｇｉｓｔｅｒ—ｇｌｏｂａｌｓ的设置，将会为服务器变量和　

ｅｘｅｃ，

查询字符串自动创建全局变量。在安装第三方的软件包时，比　

么可以关闭很多文件操作ｄｉｓａｂｌｅ—ｆｕｎｃｔｉｏｎｓ＝ｃｈｄｉｒ，ｃｈｒｏｏｔ，ｄ　

如内容管理软件，像］ｏｏｍｌａ与Ｄｒｕｐａｌ，安装脚本将引导用户把　

Ｊｒ，ｇｅｔｃｗｄ，ｏｐｅｎｄｉｒ，ｒｅａｄｄｉｒ，ｓｃａｎｄｉｒ，ｆｏｐｅｎ，ｕｎｌｉｎｋ，ｄｅｌｅｔｅ，Ｃ　

ｒｅｇｉｓｔｅｒ　ｇｌｏｂａｌｓ设置为“关闭”。将设置改变为“关闭”可　

ｏｐｙ，ｍｋｄｉｒ，ｒｍｄｉｒ，ｒｅｎａｍｅ，ｆｉｌｅ，ｆｉｌｅ

ｇｅｔ

ｃｏｎｔｅｎｔｓ，ｆｐｕｔｓ，ｆｗ　

ｔｅ，ｃｈｇｒｐ，ｃｈｍｏｄ，ｃｈｏｗｎ。同时我们还可以禁用在安全性难以　

以确保未经授权的用户无法通过猜测变量名称及验证密码来　

ｒｉ

ｇ（￣ＳＱＬ　

访问数据。当然采取这样的方式设置了后，获取对应变量的时　

实施的ＰＨＰ设置。如恶意的黑客会使用错误报告信　

候就要采用合理方式，比如获取ＧＥＴ提交的变量ｖａｒ，那么就要　

数据的错误）来猜测应用程序正在做什么。黑客的这种侦察往　

用￥

ＧＥＴ［’ｖａｒ’］来进行获取，这个ｐｈｐ程序员要注意。（Ａｒｒａｙ）　

往能够帮助黑客突破应用程序。那么，我们在为了堵住这个漏　

文件，为ｅｒｒｏｒ＿ｌｏｇ条目提供合适的　

打开ｍａｇｉｃ

ｑｕｏｔｅｓ

ｇｐｃ来防止ＳＱＬ注入，ＳＱＬ注入是非常危险　

洞时，就需要编辑ｐｈｐ．ｉｎｉ

的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定　

目的地，并将ｄｉｓｐｌａｙ＿ｅｒｒｏｒｓ设置为Ｏｆｆ的形式。　

要小心。ｐｈｐ．ｉｎｉ中有一个设置：ｍａｇｉｃ—ｑｕｏｔｅｓ—ｇｐｃ＝Ｏｆｆ。这个　

总之，任何网站开发软件都不是完美的，在使用中都会存　

默认是关闭的，如果它打开后将自动把用户提交对ｓｑｌ的查询进　

在一些预想不到的问题，只有在存在的问题中，努力去克服，最　

行转换，如把’转为’等，这对防止ｓｑｌ注射有重大作用。所以　

大可能降低黑客入侵，才能使得网络更加完全。

我们推荐设置为：ｍａｇｉｃ—ｑｕｏｔｅｓ—ｇｐｃ＝Ｏｎ。　

３禁用函数设置　

不常用的文件处理函数可以执行命令函数，如我们不希　

者能够查看ｐｈｐ信息的ｐｈｐｉｎｆｏ　０等函数，那么我们就可以禁　

止它１门：ｄｉｓａｂｌｅ

ｆｕｎｃｔｉｏｎｓ＝ｓｙｓｔｅｍ，ｐａｓｓｔｈｒｕ，ｅｘｅｃ，ｓｈｅｌｌ

［参考文献］　

［１］Ｓｔｕａｒｔ　ＭｃＣｌｕｒｅ，Ｊｏｅｌ　Ｓｃａｍｂｒａｙ，Ｇｅｏｒｇｅ　Ｋｕｒｔｚ，钟向群译．黑客大曝　

［２］Ｓｔｕｔｔａｒｄ．Ｄ，Ｐｉｎｔｏ．Ｍ，石华耀译．黑客攻防技术宝典［Ｍ］．北京：人民邮　

电出版社，２００９．　

望执行包括ｓｙｓｔｅｍ（）等在那的能够执行命令的ｐｈｐ函数，或　

光：网络安全机密与解决方案［Ｍ］．北京：清华大学出版社，２０１０．

２４口圜日圆