让PHP脚本更安全（相关读书笔记）

1. 绝不相信任何用户的输入，假设他们都是非法用户。 2.设定php.ini register_globals 为OFF，到目前为止看过一些文章和程序发现很多朋友的这个选项还是开的，有的甚至为了图方便故意打开这个选项，这是不安全的，很多人都是知道，可依然这样做，真是另人费解，官方见意将些选项设为OFF，不动脑子想想。 3.修改PHP.ini使其出错时不显示任何信息（防止向恶意的用户提供敏感信息）,调试代码的时候打开. 4. 程序中应该应该有多项函数认证，以确定当前用户的合法性，最精典的验证用户合法性是只有如下代码： if(isset($_SESSION($user))) { ......ok.....; } else { ......false.....; } 很多认都是这么干！我以前也这么干！但是我觉得就这么一层检查显然有一些不妥，有一句话说的精彩，深度防范，多一层保护就多一层安全，应该建立多项检查方法，至少三种以上，纯属个人意见。 5.存储到数据库中的密码信息必须md5 or sha1加密！这样就算数据库被人家成功CREAK了，大多数人还是拿你没有办法，以前我在网上找了许多关于破解md5 or sha1的相关信息，听说目前还没有完全破解它的，所以暂时先相信他了，这样说是因为听说国外有一个MM几乎破解了。。。但是还不完全。。。。。。 6.如果你要将保密的信息放到URL当中必须加密！总之一句话，所以每感的相信关系全都要加密！（不如用POST。。。。。 @_@!）--{PEAR::Crypt_HMAC}----- 7. 过滤用户的输入（必须过滤！）例strip_tags() 等等，或编写自己的过滤函数类等。（绝不相信任何输入，如果输入的是数字等应该这样：(int) $_GET[$msg]）