PHP本身是安全的  但默认安装存在着多种多样的问题 建议 个人主机 1 删除apache 虚拟目录 2 关闭php 错误提示 error_reporting = E_ALL & ~E_NOTICE3 启动safe_mode  设定php 运行目录  safe_mode_exec_dir= 4 用 disable_functions 屏蔽   passthru , exec , system , phpinfo , popen , chroot , scandir , chgrp , chown , escapeshellcmd , escapeshellarg , shell_exec , proc_op...... ......

原著：Shaun Clowes 翻译：analysist 之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，原文可以在http://www.securereality.com.au/studyinscarlet.txt找到。 由于原文比较长，而且有相当一部分是介绍文章的背景或PHP的基础知识，没有涉及到PHP安全方面的内容，因此我

Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的确写的很棒，考虑到了很多方面，我这个文章只是狗尾续貂，补充一些其它没怎么提到的问题。本文侧重于解决问题，而不是攻击。   1、古老的欺骗SQL语句   在默认模式下，即使是你忘了把php.ini拷到/usr/local/lib/php.ini下，php还是打开magic_quotes_gpc＝on。这样所有从GET/POST/Cookie来

hp4.0.0才出来的时候，我们测试发现php4isasp.dll有缓冲溢出漏洞，下面是php4isapi.c的相关源代码：static void sapi_isapi_register_server_variables(zval *track_vars_array ELS_DC SLS_DC PLS_DC){char static_variable_buf[ISAPI_SERVER_VAR_BUF_SIZE];char *variable_buf;DWORD variable_len = ISAPI_SERVER_VAR_BUF_SIZE;char *variable;char *strtok_buf = NULL;LPEXTENSION_CONTROL_BLOCK lpECB;char **p = isapi_server_v...... ......

PHP.Pirus是第一只被发现的用PHP写的病毒,它寻找扩展名为.php和.htm的文件，并插入代码去调用自己。这个病毒只能在以php为解释器的服务器上。访问一个被它感染的网页并不能感染上病毒。 种类:病毒 感染长度：718字节 病毒发现时间：2000-11-13 危害程度:  疯狂程度:低;  破坏程度：低;   传播：低 疯狂程度:    ...... ......

其实从编程的角度来讲PHP是没什么问题的,主要是使用PHP这种语言编出来的东西是否涉及安全了. PHP的运行,是靠它的语言解释器来完成的,在NT或WIN9X下也就是PHP....... ......

目前，我发现某个社区网站中的一个上传“我的照片”功能有着很大的安全隐患，因为上传程序未对上传的文件做分析，从而我可以上传一个test.php的文件，...... ......

如果你的php.ini中register_globals = On, 所有post, get, cookie, session的同名变量就会搅和在一起,可以用$HTTP_*_VARS["username"]来判断你想要的那个变量. 但是即使同名, 在php.ini中variables_order = "GPCS"也会按照优先级别来判断, 等级低的值没法冲掉等级高的所以, 如果一开始就用session_register("username")是明智的, 也可以用session_is_registered来判断变量是否已经...... ......

SQL注入式攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击，动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如： 　　如果你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'" 　　那么，如果我的用户名是：1' or '1'='1 　　那么，...... ......

一般配置的web服务安全起见需要屏蔽函数（php） exec,system,dl,shell_exec,passthru,popen 后面两个在win上可以不要 禁止使用fopen,fsockopen,file等函数打开远程文件，以上函数仅允许打开本地用户自己的文件 allow_url_fopen = off 屏蔽函数 disable_functions =在这里开列需要屏蔽的函数，用“,”分隔一、Web服务器安全 PHP其实不过是Web服务器的一个模块...... ......