PHP开发：坚守的安全规则与数据验证

"这篇文章主要探讨了PHP开发中的关键安全规则，强调了不应信任任何外部数据，因为它们可能带来潜在的安全风险。外部数据包括通过GET、POST、数据库、配置文件、会话变量或cookie等方式获取的数据。文章通过示例介绍了如何避免污染变量（tainted data）并确保数据的安全性，提出了清理输入数据的策略。此外，还提到了禁用register_globals设置以增强安全性，并讨论了输出缓冲区（ob）的使用在防止跨站脚本（XSS）攻击中的作用。" 在PHP开发中，遵守安全规则至关重要，首要原则是不要信任任何外部数据。这是因为这些数据可能包含恶意输入，可能导致SQL注入、跨站脚本（XSS）等安全漏洞。例如，当从HTTP请求中直接使用用户输入的变量，如`$_POST['username']`时，如果没有经过验证和清理，就可能导致安全问题。在示例中，直接使用`$myUsername=$_POST['username'];`被标记为“污染的”（tainted），因为它是从不受信任的源获取的。 为了保护应用程序，应使用过滤和验证函数来清理输入数据。在提供的示例中，定义了一个名为`cleanInput`的函数，它将输入转换为小写，移除非字母字符，并限制字符串长度，以确保只允许预期的字符类型。这样处理后的`$myUsername`变量就是“干净的”（clean），可以安全地用于构建动态内容，如`define(GREETING, 'hellothere.' . $myUsername);`。 另外，为了提高安全性，应禁用PHP的`register_globals`设置。这个选项默认情况下是关闭的，但在某些旧版本的PHP中可能会启用。`register_globals`会导致全局变量直接从GET、POST等请求数据中创建，这使得攻击者更容易篡改应用程序的内部状态。正确做法是手动通过`$_POST['variable']`等方式访问这些数据。 最后，文章还提到了输出缓冲区（Output Buffering，简称ob）的使用。在PHP中，ob功能可以帮助开发者控制和处理页面的输出，防止意外的数据泄露，如防止XSS攻击。在输出敏感内容前开启ob，可以确保所有内容在经过适当的净化处理后才发送到浏览器。 PHP开发中的安全规则主要包括：不相信任何外部数据，清理输入数据，禁用`register_globals`，以及合理使用输出缓冲区。遵循这些规则，可以显著提升Web应用程序的安全性，降低被攻击的风险。