精华内容
下载资源
问答
  • 安全漏洞开发规范
    2016-05-11 14:21:56

    XSS(跨站脚本攻击)
    漏洞描述
    跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

    安全隐患
    攻击者可利用XSS漏洞获取用户cookie,传播蠕虫,篡改页面或进行钓鱼等
    防范措施

    对参数做html转义过滤(要过滤的字符包括:单引号、双引号、大于号、小于号,&符号),防止脚本执行。在变量输出时进行HTML ENCODE处理。 PHP应用:可以使用htmlspecialchars对用户参数进行编码 JAVA应用:可以使用org.apache.commons.lang.StringEscapeUtils提供的Escape函数
    示例参考

    问题代码示例:

    <?php
         $aa=$_GET['dd'];
         echo $aa."123";
     ?>


    安全代码示例:

    <?php
         $aa=$_GET['dd'];
         echo htmlspecialchars($aa)."123";
     ?>


    CSRF(伪造跨站请求)
    CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用
    ◾安全隐患

    该漏洞可以在用户登录完成后的会话里,让用户执行不知情的操作。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
    ◾防范措施

    一般是使用csrf token的验证机制来保证用户请求的合法性:即在功能请求页面设置csrf token,并在服务端对token进行验证。TAE已经支持了此功能。TAE在渲染页面的时候会默认在所有的POST表单中插入一个含有csrf token的隐藏iuput域:


    <form action="create_user.php" method="POST">
        username:<input type="text" name="username">
        password:<input type="text" name="password">
        <input type="submit">


    <input name="_tae_token_" type="hidden" value="2Z1KbUmOwwcUEOWvAGBRYA%3D%3D"> </form>

    这样提交表单的时候TAE服务端就会进行token验证,如果验证不通过就报错。 所以,ISV同学在编写后台form表单时候,如果是执行写数据库的action,最好将form表单的method改成“POST”,这样就可以使用TAE的安全机制保护应用站点了。当然TAE也支持在js里面使用token验证机制。TAE默认会注入两个全局变量到js环境中:_csrfTokenKey(默认是“_tae_token_”),_csrfTokenValue(token值,是实时生成的),只要将这两个参数加到ajax请求参数中就可以使用token验证机制了:

    SQL Injection(SQL注入漏洞)
    ◾漏洞描述

    SQL注射是由于程序中对使用到的sql没有做到数据和结构分离导致程序的sql能被恶意用户控制,从而引发的数据库信息泄漏,修改,服务器被入侵等一系列严重后果。
    ◾安全隐患

    数据库信息泄露或被修改,还有可能威胁服务器的安全。
    ◾防范措施

    对程序中使用到的SQL语句,使用变量绑定的方式进行数据和结构的分离。
    ◾参开示例

    PHP:

    问题代码示例:

    <?php
         $id=$_GET['id'];
         $conn = mysql_connect("localhost","root","") or die ("wrong!");
         $sel=mysql_select_db("mydb",$conn);
         $sql="select * from user where id = ".id
         $que=mysql_query($sql,$conn);
     ?>


    安全代码示例:


    <?php
         $id=$_GET['id'];
         $conn = mysql_connect("localhost","root","") or die ("wrong!");
         $sel=mysql_select_db("mydb",$conn);
         $sql="select * from user where id = :id"
         $stmt = $conn->prepare($sql);
         $stmt->execute(array(':id'=>$id));
     ?>



    更多相关内容
  • 作为PHP开发规范的开篇,我从一个纯PHP开发者的角度来说说我所认为的PHP代码规范,主要从PHP目录框架结构、PHP代码书写规范、PHP文件命名规范三个角度来阐述,希望对PHP入门学习者有所帮助。 合理建设PHP目录框架...
  • PHP OAuth 2.0服务器联盟/ oauth2-server是用PHP编写的OAuth 2.0授权服务器的符合标准的实现,这使得与OAuth 2.0的协作变得微不足道。 您可以轻松地配置OAuth 2.0服务器PHP OAuth 2.0服务器联盟/ oauth2-server是用...
  • PHP安全SDK及编码规范

    2019-08-09 05:47:43
    PHP安全SDK及编码规范
  • javascript提取WebApi for PHP的简单,类型安全,零依赖端口。 PHP Fetch一个简单的,类型安全的,零依赖的javascriptJavaScript WebApi for PHP端口。 注意:该库的版本低于1.0.0,并且根据语义版本规范,在达到...
  • PHP团队开发编码规范,代码规范
  • PHP与数据库代码开发规范 1PHP中对各类变量内容的命名规范 6方法命名 使用英文名词动词以下划线作为单词的分隔所有字母均使用小写 class userAccount { public $name_account=; function is_account_ok){ . } ...
  • PHP开发规范标准.docx

    2020-11-29 20:44:20
    !- 目录 1编写目的 . 4 2整体要求 . 5 3安全规范 . 6 3.1 包含文件 . 6 3.1.1 命名规则 . 6 3.1.2 存放规则 . 6 3.2 安全规则 . 7 3.3 一些针对 PHP 的规则 .
  • PHP开发代码规范

    千次阅读 2016-08-05 15:36:14
    1 编写目的 为了更好的提高技术部...技术部php开发规范将参照PEAR的规范,基本采用PEAR指定的规范,在其基础上增加、修改或删除部分适合具体开发环境的规范。本规范只针对PHP开发过程中编码的规范,对于PHP开发项目中

    1 编写目的
    为了更好的提高技术部的工作效率,保证开发的有效性和合理性,并可最大程度的提高程序代码的可读性和可重复利用性,指定此规范。开发团队根据自己的实际情况,可以对本规范进行补充或裁减。

    2 整体要求
    技术部php开发规范将参照PEAR的规范,基本采用PEAR指定的规范,在其基础上增加、修改或删除部分适合具体开发环境的规范。本规范只针对PHP开发过程中编码的规范,对于PHP开发项目中文件、目录、数据库等方面的规范,将不重点涉及。
    本规范包含了PHP开发时程序编码中命名规范、代码缩进规则、控制结构、函数调用、函数定义、注释、包含代码、PHP标记、文件头的注释块、CVS标记、URL样例、常量命名等方面的规则。

    3 安全规范

    3.1 包含文件

    3.1.1 命名规则
    提取出来具有通用函数的包含文件,文件后缀以.inc来命名,表明这是一个包含文件。
    如果有多个.inc文件需要包含多页面,请把所有.inc文件封装在一个文件里面,具体到页面只需要包换一个.inc文件就可以了
    如:xxx_session.inc
    xxx_comm..inc
    xxx_setting.inc
    mysql_db.inc

    把以上文件以一下方式,封装在xxx.basic.inc文件里面
    require_once(”xxx_session.inc”);
    require_once(”xxx_comm.inc”);
    require_once(”xxx_setting.inc”);
    require_once(”mysql_db.inc”);

    注:是否需要封装到一个文件,视情况而定,如果每个inc的功能是分散到不同的页面使用的话,就不建议封装。

    3.1.2 存放规则
    一般包含文件不需要直接暴露给用户,所以应该放在 Web Server访问不到的目录,避免因为配置问题而泄露设置信息。

    3.2 安全规则
    请参考产品安全检查表。

    输入和输出
    检查是否做了HTML代码的过滤
    可能出现的问题:如果有人输入恶意的HTML代码,会导致窃取cookie, 产生恶意登录表单,和破坏网站
    检查变量做数据库操作之前是否做了escape
    可能出现的问题:如果一个要写入查询语句的字符串变量包含了某些特殊的字符,比如引号(’ ,”)或者分号(;) 可能造成执行了预期之外的操作。
    建议采用的方法:使用mysql_escape_string() 或实现类似功能的函数。
    检查输入数值的合法性
    可能出现的问题:异常的数值会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB、存入其它的数据库或者导致意料之外的程序操作发生。
    举例:
    如果程序以用户输入的参数值做为文件名,进行文件操作,恶意输入系统文件名会造成系统损毁。
    核实对cookie的使用以及对用户数据的处理
    可能出现的问题:不正确的cookie使用可能造成用户数据泄漏
    访问控制
    对内部使用的产品或者供合作方使用的产品,要考虑增加访问控制
    logs
    确保用户的保密信息没有记在log中(例如:用户的密码)
    确保对关键的用户操作保存了完整的用户访问记录
    https
    对敏感数据的传输要采用https

    3.3 一些针对PHP的规则
    设置 register_globals = off (Y!PHP 已经禁止了register_globals,如果你使用Y!PHP可以不考虑这项设置)
    设置 error_reporting = E_ALL (Y!PHP 的缺省设置),并且要修正所有的error和warning
    将实际的操作放在被引用的文件中。把引用文件放到不可以被直接浏览的目录下

    3.4 其它处理规则

    3.4.1 对输入参数值进行转义处理
    页面接到参数需要SQL操作,这时候需要做转义,尤其需要注意”;”。
    如:$a = ” Let’s go ” ;
    $sql = “Insert into tmp(col) values(’$a’)” ;
    这种情况出现错误的不确定性。

    3.4.2 操作大HTML文本
    很多时候需要存放一大段HTML文本供页面使用,象用户定制页头页脚等。
    需要剔除脚本标记,避免执行恶意php代码。
    转换”<"">“号,保证代码完整。

    4 编码规范

    4.1 命名规范
    制定统一的命名规范对于项目开发来说非常重要,不但可以养成程序员一个良好的开发习惯,还能增加程序的可读性、可移植性和可重用性,还能很好的提高项目开发的效率。

    4.1.1 变量命名
    变量命名分为普通变量、静态变量、局部变量、全局变量、Session变量等方面的命名规则。

    4.1.1.1 普通变量
    普通变量命名遵循以下规则:
    a. 所有字母都使用小写;
    b. 对于一个变量使用多个单词的,使用’_'作为每个词的间隔。
    例如:$base_dir、$red_rose_price等

    4.1.1.2 静态变量
    静态变量命名遵循以下规则:
    a. 静态变量使用小写的s_开头;
    b. 静态变量所有字母都使用小写;
    c. 多个单词组成的变量名使用’_'作为每个词的间隔。
    例子:$s_base_dir、$s_red_rose_prise等。

    4.1.1.3 局部变量
    局部变量命名遵循以下规则:
    a. 所有字母使用小写;
    b. 变量使用’_'开头;
    c. 多个单词组成的局部变量名使用’_'作为每个词间的间隔。
    例子:$_base_dir、$_red_rose_price等。

    4.1.1.4 全局变量
    全局变量应该带前缀’g',知道一个变量的作用域是非常重要的。
    例如
    global $gLOG_LEVEL;
    global $gLOG_PATH;

    4.1.1.5 全局常量
    全局变量命名遵循以下规则:
    a. 所有字母使用大写
    b. 全局变量多个单词间使用’_'作为间隔。
    例子:$BASE_DIR、$RED_ROSE_PRICE等。

    4.1.1.6 session变量
    session变量命名遵循以下规则:
    a. 所有字母使用大写;
    b. session变量名使用’S_’开头;
    c. 多个单词间使用’_'间隔。
    例子:$S_BASE_DIR、$S_RED_ROSE_PRICE等。

    4.1.2 类
    php中类命名遵循以下规则:
    a. 以大写字母开头;
    b. 多个单词组成的变量名,单词之间不用间隔,各个单词首字母大写。
    例子:class MyClass 或class DbOracle等。

    4.1.3 方法或函数
    方法或函数命名遵循以下规则:
    a. 首字母小写;
    b. 多个单词间不使用间隔,除第一个单词外,其他单词首字母大写。
    例子:function myFunction ()或function myDbOracle ()等。

    4.1.4 缩写词
    当变量名或者其他命名中遇到缩写词时,参照具体的命名规则,而不采用缩写词原来的全部大写的方式。
    例子:function myPear(不是myPEAR) functio getHtmlSource(不是getHTMLSource)。

    4.1.5 数据库表名
    数据库表名命名遵循以下规范:
    a. 表名均使用小写字母;
    b. 对于普通数据表,使用_t结尾;
    c. 对于视图,使用_v结尾;
    d. 对于多个单词组成的表名,使用_间隔;
    例子:user_info_t和book_store_v等

    4.1.6 数据库字段
    数据库字段命名遵循以下规范:
    a. 全部使用小写;
    b. 多个单词间使用_间隔。
    例子:user_name、rose_price等。

    4.2 书写规则
    书写规则是指在编写php程序时,代码书写的规则,包括缩进、结构控制等方面规范:

    4.2.1 代码缩进
    在书写代码的时候,必须注意代码的缩进规则,我们规定代码缩进规则如下:
    a. 使用4个空格作为缩进,而不使用tab缩进(对于ultraedit,可以进行预先设置)
    例子:
    for ( $i=0;$i<$count;$i++ )
    {
    echo "test";
    }

    4.2.2 大括号{ }书写规则
    在程序中进行结构控制代码编写,如if、for、while、switch等结构,大括号传统的有两种书写习惯,分别如下:
    a.{直接跟在控制语句之后,不换行,如
    for ($i=0;$i<$count;$i++) {
    echo "test";
    }
    b.{在控制语句下一行,如
    for($i=0;$i<$count;$i++)
    {
    echo "test";
    }
    其中,a是PEAR建议的方式,但是从实际书写中来讲,这并不影响程序的规范和影响用phpdoc实现文档,所以可以根据个人习惯来采用上面的两种方式,但是要求在同一个程序中,只使用其中一种,以免造成阅读的不方便。

    4.2.3 小括号( )和函数、关键词等
    小括号、关键词和函数遵循以下规则:
    a. 不要把小括号和关键词紧贴在一起,要用一个空格间隔;如if ( $a<$b );
    b. 小括号和函数名间没有空格;如$test = date("ymdhis");
    c. 除非必要,不要在Return返回语句中使用小括号。 如Return $a;

    4.2.4 =符号书写
    在程序中=符号的书写遵循以下规则:
    a. 在=符号的两侧,均需留出一个空格;如$a = $b 、if ($a = = $b)等;
    b. 在一个申明块,或者实现同样功能的一个块中,要求=号尽量上下对其,左边可以为了保持对齐使用多个空格,而右边要求空一个空格;如下例:
    $testa = $aaa;
    $testaa = $bbb;
    $testaaa = $ccc;

    4.2.5 if else swith for while等书写
    对于控制结构的书写遵循以下规则:
    a. 在if条件判断中,如果用到常量判断条件,将常量放在等号或不等号的左边,例如:
    if ( 6 == $errorNum ),因为如果你在等式中漏了一个等号,语法检查器会为你报错,可以很快找到错误位置,这样的写法要多注意;
    b. switch结构中必须要有default块;
    c. 在for和wiile的循环使用中,要警惕continue、break的使用,避免产生类似goto的问题;

    4.2.6 类的构造函数
    如果要在类里面编写构造函数,必须遵循以下规则:
    a. 不能在构造函数中有太多实际操作,顶多用来初始化一些值和变量;
    b. 不能在构造函数中因为使用操作而返回false或者错误,因为在声明和实例化一个对象的时候,是不能返回错误的;

    4.2.7 语句断行, 每行控制在80个字符以内
    在代码书写中,遵循以下原则:
    a. 尽量保证程序语句一行就是一句,而不要让一行语句太长产生折行;
    b. 尽量不要使一行的代码太长,一般控制在80个字符以内;
    c. 如果一行代码太长,请使用类似 .= 的方式断行书写;
    d. 对于执行数据库的sql语句操作,尽量不要在函数内写sql语句,而先用变量定义sql语句,然后在执行操作的函数中调用定义的变量;
    例子:
    $sql = "SELECT username,password,address,age,postcode FROM test_t ";
    $sql .= " WHERE username='aaa'";
    $res = mysql_query($sql);

    4.2.8 不要不可思议的数字
    一个在源代码中使用了的赤裸裸的数字是不可思议的数字,因为包括作者,在三个月内,没人它的含义。例如:

    if      (22 == $foo)  
    {

    start_thermo_nuclear_war()
    }

    else if (19 == $foo)
    {
    refund_lotso_money()
    }

    else
    {
    cry_cause_im_lost()
    }

    你应该用define()来给你想表示某样东西的数值一个真正的名字,而不是采用赤裸裸的数字,例如:

    define("PRESIDENT_WENT_CRAZY""22") ;
    define("WE_GOOFED""19")
    ;
    define("THEY_DIDNT_PAY""16")
    ;
     
    if ( PRESIDENT_WENT_CRAZY == $foo)
     
    {
     
    start_thermo_nuclear_war()

    }

    else if (WE_GOOFED == $foo)  
    {

    refund_lotso_money()
    }

    else if (THEY_DIDNT_PAY == $foo)
    {
    infinite_loop()
    }

    else
    {
    happy_days_i_know_why_im_here()
    }

    4.2.9 true/false和0/1判断
    遵循以下规则:
    a. 不能使用0/1代替true/false,在PHP中,这是不相等的;
    b. 不要使用非零的表达式、变量或者方法直接进行true/false判断,而必须使用严格的完整true/false判断;
    如:不使用if ($a) 或者if (checka()) 而使用if (FALSE != $a)或者 if (FALSE != check())

    4.2.10 避免嵌入式赋值
    在程序中避免下面例子中的嵌入式赋值:
    不使用这样的方式:
    while ($a != ($c = getchar()))
    {
    process the character
    }

    4.2.11 错误返回检测规则
    检查所有的系统调用的错误信息,除非你要忽略错误。
    为每条系统错误消息定义好系统错误文本,并记录错误LOG。

    4.3 程序注释
    每个程序均必须提供必要的注释,书写注释要求规范,参照PEAR提供的注释要求,为今后利用phpdoc生成php文档做准备。程序注释的原则如下:
    a. 注释中除了文件头的注释块外,其他地方都不使用//注释,而使用/* */的注释;
    b. 注释内容必须写在被注释对象的前面,不写在一行或者后面;

    4.3.1 程序头注释块
    每个程序头部必须有统一的注释块,规则如下:
    a. 必须包含本程序的描述;
    b. 必须包含作者;
    c. 必须包含书写日期;
    d. 必须包含版本信息;
    e. 必须包含项目名称;
    f. 必须包含文件的名称;
    g. 重要的使用说明,如类的调用方法、注意事项等;
    参考例子如下:

    <?php
    //
    // +---------------------------------------------------------+
    // | PHP version 4.0                                         |
    // +---------------------------------------------------------+
    // | Copyright (c) 1997-2001 The PHP Group                   |
    // +---------------------------------------------------------+
    // | This source file is subject to  of the PHP license,     |
    // | that is bundled with this packafile LICENSE, and is     |
    // | available at through the world-web at                   |
    // | http://www.php.net/license/2_02.txt.                    |
    // | If you did not receive a copy of the  and are unable to |
    // | obtain it through the world-wide-web,end a note to      |
    // | license@php.net so we can mail you a immediately.       |
    // +---------------------------------------------------------+
    // | Authors: Stig Bakken <ssb@fast.no>                      |
    // |          Tomas V.V.Cox <cox@idecnet.com>                |
    // |                                                         |
    // +---------------------------------------------------------+
    //
    // $Id: Common.php,v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $

    4.3.2 类的注释
    类的注释采用里面的参考例子方式:

    /** 
    * @ Purpose: 
    * 访问数据库的类,以ODBC作为通用访问接口 
    *
     @Package 
    Name: Database 
    * @Author: Forrest Gump 
    gump@crtvu.edu.cn
     
    * @Modifications: 
    * No20020523-100: 
    * odbc_fetch_into()参数位置第二和第三个位置调换 
    * John Johnson 
    John@crtvu.edu.cn
     
    * @See: (参照) 
    */
     
    class Database
     
    {
     
    …… 
    }

    4.3.3 函数和方法的注释
    函数和方法的注释写在函数和方法的前面,采用类似下面例子的规则:

    /** 
    * @Purpose: 
    * 执行一次查询 
    *
     @Method 
    Name: Query()

    * @Param: string $queryStr SQL查询字符串 
    * @Param: string $username 用户名

    * @Author: Michael Lee
    *
    * @Return: mixed 查询返回值(结果集对象) 
    */
     
    function$queryStr,$username

    {……}

    4.3.4 变量或者语句注释
    程序中变量或者语句的注释遵循以下原则:
    a. 写在变量或者语句的前面一行,而不写在同行或者后面;
    b. 注释采用/* */的方式;
    c. 每个函数前面要包含一个注释块。内容包括函数功能简述,输入/输出参数,预期的返回值,出错代码定义。
    d. 注释完整规范。
    e. 把已经注释掉的代码删除,或者注明这些已经注释掉的代码仍然保留在源码中的特殊原因。
    f.
    例子:

    /** 
    * @Purpose: 
    * 数据库连接用户名 
    * @Attribute/Variable Name: db_user_name 
    * @Type: string 
    */
     
    var db_user_name;

    4.4 其他规范(建议)

    4.4.1 php代码标记
    所有的php程序代码块标记均使用

    4.4.2 程序文件名、目录名
    程序文件名和目录名命名均采用有意义的英文方式命名,不使用拼音或无意义的字母,同时均必须使用小写字母,多个词间使用_间隔。

    4.4.3 PHP项目通常的文件目录结构
    建议在开发规范的独立的PHP项目时,使用规范的文件目录结构,这有助于提高项目的逻辑结构合理性,对应扩展和合作,以及团队开发均有好处。
    一个完整独立的PHP项目通常的文件和目录结构如下:
    / 项目根目录
    /manage 后台管理文件存放目录
    /css css文件存放目录
    /doc 存放项目文档
    /images 所有图片文件存放路径(在里面根据目录结构设立子目录)
    /scripts 客户端js脚本存放目录
    /tpl 网站所有html的模版文件存放目录
    /error.php 错误处理文件(可以定义到apache的错误处理中)

    以上目录结构是通常的目录结构,根据具体应用的具体情况,可以考虑不用完全遵循,但是尽量做到规范化。

    4.4.4 PHP和HTML代码的分离问题
    对性能要求不是很高的项目和应用,我们建议不采用PHP和HTML代码直接混排的方式书写代码,而采用PHP和HTML代码分离的方式,即采用模版的方式处理,这样一方面对程序逻辑结构更加清晰有利,也有助于开发过程中人员的分工安排,同时还对日后项目的页面升级该版提供更多便利。
    对于一些特殊情况,比如对性能要求很高的应用,可以不采用模版方式。

    4.4.5 PHP项目开发中的程序逻辑结构
    对于PHP项目开发,尽量采用OOP的思想开发,尤其在PHP5以后,对于面向对象的开发功能大大提高。
    在PHP项目中,我们建议将独立的功能模块尽量写成函数调用,对应一整块业务逻辑,我们建议封装成类,既可以提高代码可读性,也可以提高代码重用性。比如,我们通常将对数据库的接口封装成数据库类,有利于平台的移植。
    重复的代码要做成公共的库。(除了我们在plug-in产品上遇到的情况,该产品系列有多个相类似的产品,为了尽可能地减少安装包尺寸,不适合将这些产品共用的所有函数做成公共的库)

    5 特定环境下PHP编码特殊规范

    5.1 变量定义
    XXX环境下的php代码编写要求所有的变量均需要先申明后使用,否则会有错误信息,对于数组,在使用一个不确定的key时,比如先进行isset()的判断,然后再使用;比如下面的代码:
    $array = array();
    $var = isset($array[3]) ? $array[3] : “”;

    5.2 引用的使用
    引用在程序中使用比较多,为了公用同一个内存,而不需要另外进行复制,XXX环境下的引用使用时,需要注意下面的情况;
    在对函数的输入参数中使用引用时,不能在调用的时候在输入参数前加&来引用,而直接使用该变量即可,同时必须在函数定义的时候说明输入参数来自引用,比如下面的代码:
    $a = 1;
    function ab(&$var)
    {
    $var ++;
    return $var;
    }
    $b = ab($a) // 注意,此处不能使用 $b = ab(&$a)的方式;
    echo $b.”/n”;
    echo $a.”/n”;
    此时 $a和$b都是2;

    XXX环境下对引用的特殊要求源自php.ini文件里面的allow_call_time_pass_reference 项设置, 对外公开的版本是 On ,这样就可以支持&直接加到调用函数时变量前面进行引用,但是这一方法遭到抗议,并可能在将来版本的PHP/Zend里不再支持。受到鼓励的指定哪些参数按引用传递的方法是在函数声明里。你被鼓励尝试关闭这一选项(使用 off,XXX的所有运行环境下都是off)并确认你的脚本仍能正常工作,以保证在将来版本的语言里它们仍能工作。

    5.3 变量的输入输出
    在XXX环境下,对web通过GET或者POST方法传递来的参数均要求进行严格的过滤和合法性验证,不推荐使用直接的$_GET、$_POST或者$_REQUEST获取,而通过XXX的XXX_yiv模块提供的方法获取和过滤处理

    规范完!

    展开全文
  • 微信支付接口开发安全规范

    千次阅读 2017-06-13 17:18:22
    PHP开发环境请使用商户证书文件apiclient_cert.pem和apiclient_key.pem ,rootca.pem是CA证书。 各版本的调用实例 请参考微信支付提供的Demo外链 。   (3)商户证书安全 证书文件不能放在web...

    1、

    签名算法------(签名校验工具)

    签名生成的通用步骤如下:

    第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。

    特别注意以下重要规则:

    1. ◆ 参数名ASCII码从小到大排序(字典序);
    2. ◆ 如果参数的值为空不参与签名;
    3. ◆ 参数名区分大小写;
    4. ◆ 验证调用返回或微信主动通知签名时,传送的sign参数不参与签名,将生成的签名与该sign值作校验。
    5. ◆ 微信接口可能增加字段,验证签名时必须支持增加的扩展字段

    第二步,在stringA最后拼接上key得到stringSignTemp字符串,并对stringSignTemp进行MD5运算,再将得到的字符串所有字符转换为大写,得到sign值signValue。

    key设置路径:微信商户平台(pay.weixin.qq.com)-->账户设置-->API安全-->密钥设置

    举例:

    假设传送的参数如下:

    appid: wxd930ea5d5a258f4f

    mch_id: 10000100

    device_info: 1000

    body: test

    nonce_str: ibuaiVcKdpRxkhJA

    第一步:对参数按照key=value的格式,并按照参数名ASCII字典序排序如下:

    stringA="appid=wxd930ea5d5a258f4f&body=test&device_info=1000&mch_id=10000100&nonce_str=ibuaiVcKdpRxkhJA";

    第二步:拼接API密钥:

    stringSignTemp=stringA+"&key=192006250b4c09247ec02edce69f6a2d"

    sign=MD5(stringSignTemp).toUpperCase()="9A0A8659F005D6984697E2CA0A9CF3B7"

    最终得到最终发送的数据:

    <xml>

    <appid>wxd930ea5d5a258f4f</appid>

    <mch_id>10000100</mch_id>

    <device_info>1000<device_info>

    <body>test</body>

    <nonce_str>ibuaiVcKdpRxkhJA</nonce_str>

    <sign>9A0A8659F005D6984697E2CA0A9CF3B7</sign>

    </xml>

    2、

    生成随机数算法

    微信支付API接口协议中包含字段nonce_str,主要保证签名不可预测。我们推荐生成随机数算法如下:调用随机数函数生成,将得到的值转换为字符串。

    3、

    商户证书

    (1)获取商户证书

    微信支付接口中,涉及资金回滚的接口会使用到商户证书,包括退款、撤销接口。商家在申请微信支付成功后,收到的相应邮件后,可以按照指引下载API证书,也可以按照以下路径下载:微信商户平台(pay.weixin.qq.com)-->账户中心-->账户设置-->API安全-->证书下载 。证书文件有四个,分别说明如下:

    表4.2:证书文件说明

    证书附件描述使用场景备注
    pkcs12格式
    (apiclient_cert.p12、
    包含了私钥信息的证书文件,为p12(pfx)格式,由微信支付签发给您用来标识和界定您的身份撤销、退款申请API中调用windows上可以直接双击导入系统,导入过程中会提示输入证书密码,证书密码默认为您的商户ID(如:10010000)

    以下两个证书在PHP环境中使用:

    证书附件描述使用场景备注
    CA证书
    (rootca.pem)
    微信支付api服务器上也部署了证明微信支付身份的服务器证书,您在使用api进行调用时也需要验证所调用服务器及域名的真实性该文件为签署微信支付证书的权威机构的根证书,可以用来验证微信支付服务器证书的真实性部分工具已经内置了若干权威机构的根证书,无需引用该证书也可以正常进行验证,这里提供给您在未内置所必须根证书的环境中载入使用
    证书pem格式
    (apiclient_cert.pem)
    从apiclient_cert.p12中导出证书部分的文件,为pem格式,请妥善保管不要泄漏和被他人复制PHP等不能直接使用p12文件,而需要使用pem,为了方便您使用,已为您直接提供您也可以使用openssl命令来自己导出:openssl pkcs12 -clcerts -nokeys -in apiclient_cert.p12 -out apiclient_cert.pem
    证书密钥pem格式
    (apiclient_key.pem)
    从apiclient_key.pem中导出密钥部分的文件,为pem格式PHP等不能直接使用p12文件,而需要使用pem,为了方便您使用,已为您直接提供您也可以使用openssl命令来自己导出:openssl pkcs12 -nocerts -in apiclient_cert.p12 -out apiclient_key.pem

    (2)使用商户证书

    • ◆ apiclient_cert.p12是商户证书文件,除PHP外的开发均使用此证书文件。
    • ◆ 商户如果使用.NET环境开发,请确认Framework版本大于2.0,必须在操作系统上双击安装证书apiclient_cert.p12后才能被正常调用。
    • ◆ 商户证书调用或安装都需要使用到密码,该密码的值为微信商户号(mch_id)
    • ◆ PHP开发环境请使用商户证书文件apiclient_cert.pem和apiclient_key.pem ,rootca.pem是CA证书。

    各版本的调用实例请参考微信支付提供的Demo外链

     

    (3)商户证书安全

    证书文件不能放在web服务器虚拟目录,应放在有访问权限控制的目录中,防止被他人下载。商户服务器要做好病毒和木马防护工作,不被非法侵入者窃取证书文件。

    4、

    商户回调API安全

    在普通的网络环境下,HTTP请求存在DNS劫持、运营商插入广告、数据被窃取,正常数据被修改等安全风险。商户回调接口使用HTTPS协议可以保证数据传输的安全性。所以微信支付建议商户提供给微信支付的各种回调采用HTTPS协议。请参考:HTTPS搭建指南

    本人提供微信、支付宝的银行接口通道,QQ932636688/电话17605918869

    说明:通过银行连微信、支付宝可以更低费率,可以用法人对私账户结算,优势多多

    接口类型:扫码、公众号、APP、H5等

    展开全文
  • 一份比较全面的PHP开发编码规范

    千次阅读 2016-12-01 13:43:11
    1 编写目的 ...技术部php开发规范将参照PEAR的规范,基本采用PEAR指定的规范,在其基础上增加、修改或删除部分适合具体开发环境的规范。本规范只针对PHP开发过程中编码的规范,对于PHP开发项目中文件

    1 编写目的
    为了更好的提高技术部的工作效率,保证开发的有效性和合理性,并可最大程度的提高程序代码的可读性和可重复利用性,指定此规范。开发团队根据自己的实际情况,可以对本规范进行补充或裁减。

    2 整体要求
    技术部php开发规范将参照PEAR的规范,基本采用PEAR指定的规范,在其基础上增加、修改或删除部分适合具体开发环境的规范。本规范只针对PHP开发过程中编码的规范,对于PHP开发项目中文件、目录、数据库等方面的规范,将不重点涉及。
    本规范包含了PHP开发时程序编码中命名规范、代码缩进规则、控制结构、函数调用、函数定义、注释、包含代码、PHP标记、文件头的注释块、CVS标记、URL样例、常量命名等方面的规则。

    3 安全规范

    3.1 包含文件

    3.1.1 命名规则
    提取出来具有通用函数的包含文件,文件后缀以.inc来命名,表明这是一个包含文件。
    如果有多个.inc文件需要包含多页面,请把所有.inc文件封装在一个文件里面,具体到页面只需要包换一个.inc文件就可以了
    如:xxx_session.inc
    xxx_comm..inc
    xxx_setting.inc
    mysql_db.inc

    把以上文件以一下方式,封装在xxx.basic.inc文件里面
    require_once(”xxx_session.inc”);
    require_once(”xxx_comm.inc”);
    require_once(”xxx_setting.inc”);
    require_once(”mysql_db.inc”);

    注:是否需要封装到一个文件,视情况而定,如果每个inc的功能是分散到不同的页面使用的话,就不建议封装。

    3.1.2 存放规则
    一般包含文件不需要直接暴露给用户,所以应该放在 Web Server访问不到的目录,避免因为配置问题而泄露设置信息。

    3.2 安全规则
    请参考产品安全检查表。

    输入和输出
    检查是否做了HTML代码的过滤
    可能出现的问题:如果有人输入恶意的HTML代码,会导致窃取cookie, 产生恶意登录表单,和破坏网站
    检查变量做数据库操作之前是否做了escape
    可能出现的问题:如果一个要写入查询语句的字符串变量包含了某些特殊的字符,比如引号(’ ,”)或者分号(;) 可能造成执行了预期之外的操作。
    建议采用的方法:使用mysql_escape_string() 或实现类似功能的函数。
    检查输入数值的合法性
    可能出现的问题:异常的数值会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB、存入其它的数据库或者导致意料之外的程序操作发生。
    举例:
    如果程序以用户输入的参数值做为文件名,进行文件操作,恶意输入系统文件名会造成系统损毁。
    核实对cookie的使用以及对用户数据的处理
    可能出现的问题:不正确的cookie使用可能造成用户数据泄漏
    访问控制
    对内部使用的产品或者供合作方使用的产品,要考虑增加访问控制
    logs
    确保用户的保密信息没有记在log中(例如:用户的密码)
    确保对关键的用户操作保存了完整的用户访问记录
    https
    对敏感数据的传输要采用https

    3.3 一些针对PHP的规则
    设置 register_globals = off (Y!PHP 已经禁止了register_globals,如果你使用Y!PHP可以不考虑这项设置)
    设置 error_reporting = E_ALL (Y!PHP 的缺省设置),并且要修正所有的error和warning
    将实际的操作放在被引用的文件中。把引用文件放到不可以被直接浏览的目录下

    3.4 其它处理规则

    3.4.1 对输入参数值进行转义处理
    页面接到参数需要SQL操作,这时候需要做转义,尤其需要注意”;”。
    如:$a = ” Let’s Go ” ;
    $sql = “Insert into tmp(col) values(’$a’)” ;
    这种情况出现错误的不确定性。

    3.4.2 操作大HTML文本
    很多时候需要存放一大段HTML文本供页面使用,象用户定制页头页脚等。
    需要剔除脚本标记,避免执行恶意php代码。
    转换”<"">“号,保证代码完整。

    4 编码规范

    4.1 命名规范
    制定统一的命名规范对于项目开发来说非常重要,不但可以养成程序员一个良好的开发习惯,还能增加程序的可读性、可移植性和可重用性,还能很好的提高项目开发的效率。

    4.1.1 变量命名
    变量命名分为普通变量、静态变量、局部变量、全局变量、Session变量等方面的命名规则。

    4.1.1.1 普通变量
    普通变量命名遵循以下规则:
    a. 所有字母都使用小写;
    b. 对于一个变量使用多个单词的,使用’_'作为每个词的间隔。
    例如:$base_dir、$red_rose_price等

    4.1.1.2 静态变量
    静态变量命名遵循以下规则:
    a. 静态变量使用小写的s_开头;
    b. 静态变量所有字母都使用小写;
    c. 多个单词组成的变量名使用’_'作为每个词的间隔。
    例子:$s_base_dir、$s_red_rose_prise等。

    4.1.1.3 局部变量
    局部变量命名遵循以下规则:
    a. 所有字母使用小写;
    b. 变量使用’_'开头;
    c. 多个单词组成的局部变量名使用’_'作为每个词间的间隔。
    例子:$_base_dir、$_red_rose_price等。

    4.1.1.4 全局变量
    全局变量应该带前缀’g',知道一个变量的作用域是非常重要的。
    例如
    global $gLOG_LEVEL;
    global $gLOG_PATH;

    4.1.1.5 全局常量
    全局变量命名遵循以下规则:
    a. 所有字母使用大写
    b. 全局变量多个单词间使用’_'作为间隔。
    例子:$BASE_DIR、$RED_ROSE_PRICE等。

    4.1.1.6 session变量
    session变量命名遵循以下规则:
    a. 所有字母使用大写;
    b. session变量名使用’S_’开头;
    c. 多个单词间使用’_'间隔。
    例子:$S_BASE_DIR、$S_RED_ROSE_PRICE等。

    4.1.2 类
    php中类命名遵循以下规则:
    a. 以大写字母开头;
    b. 多个单词组成的变量名,单词之间不用间隔,各个单词首字母大写。
    例子:class MyClass 或class DbOracle等。

    4.1.3 方法或函数
    方法或函数命名遵循以下规则:
    a. 首字母小写;
    b. 多个单词间不使用间隔,除第一个单词外,其他单词首字母大写。
    例子:function myFunction ()或function myDbOracle ()等。

    4.1.4 缩写词
    当变量名或者其他命名中遇到缩写词时,参照具体的命名规则,而不采用缩写词原来的全部大写的方式。
    例子:function myPear(不是myPEAR) functio getHtmlSource(不是getHTMLSource)。

    4.1.5 数据库表名
    数据库表名命名遵循以下规范:
    a. 表名均使用小写字母;
    b. 对于普通数据表,使用_t结尾;
    c. 对于视图,使用_v结尾;
    d. 对于多个单词组成的表名,使用_间隔;
    例子:user_info_t和book_store_v等

    4.1.6 数据库字段
    数据库字段命名遵循以下规范:
    a. 全部使用小写;
    b. 多个单词间使用_间隔。
    例子:user_name、rose_price等。

    4.2 书写规则
    书写规则是指在编写php程序时,代码书写的规则,包括缩进、结构控制等方面规范:

    4.2.1 代码缩进
    在书写代码的时候,必须注意代码的缩进规则,我们规定代码缩进规则如下:
    a. 使用4个空格作为缩进,而不使用tab缩进(对于ultraedit,可以进行预先设置)
    例子:
    for ( $i=0;$i<$count;$i++ )
    {
    echo "test";
    }

    4.2.2 大括号{ }书写规则
    在程序中进行结构控制代码编写,如if、for、while、switch等结构,大括号传统的有两种书写习惯,分别如下:
    a.{直接跟在控制语句之后,不换行,如
    for ($i=0;$i<$count;$i++) {
    echo "test";
    }
    b.{在控制语句下一行,如
    for($i=0;$i<$count;$i++)
    {
    echo "test";
    }
    其中,a是PEAR建议的方式,但是从实际书写中来讲,这并不影响程序的规范和影响用phpdoc实现文档,所以可以根据个人习惯来采用上面的两种方式,但是要求在同一个程序中,只使用其中一种,以免造成阅读的不方便。

    4.2.3 小括号( )和函数、关键词等
    小括号、关键词和函数遵循以下规则:
    a. 不要把小括号和关键词紧贴在一起,要用一个空格间隔;如if ( $a<$b );
    b. 小括号和函数名间没有空格;如$test = date("ymdhis");
    c. 除非必要,不要在Return返回语句中使用小括号。 如Return $a;

    4.2.4 =符号书写
    在程序中=符号的书写遵循以下规则:
    a. 在=符号的两侧,均需留出一个空格;如$a = $b 、if ($a = = $b)等;
    b. 在一个申明块,或者实现同样功能的一个块中,要求=号尽量上下对其,左边可以为了保持对齐使用多个空格,而右边要求空一个空格;如下例:
    $testa = $aaa;
    $testaa = $bbb;
    $testaaa = $ccc;

    4.2.5 if else swith for while等书写
    对于控制结构的书写遵循以下规则:
    a. 在if条件判断中,如果用到常量判断条件,将常量放在等号或不等号的左边,例如:
    if ( 6 == $errorNum ),因为如果你在等式中漏了一个等号,语法检查器会为你报错,可以很快找到错误位置,这样的写法要多注意;
    b. switch结构中必须要有default块;
    c. 在for和wiile的循环使用中,要警惕continue、break的使用,避免产生类似goto的问题;

    4.2.6 类的构造函数
    如果要在类里面编写构造函数,必须遵循以下规则:
    a. 不能在构造函数中有太多实际操作,顶多用来初始化一些值和变量;
    b. 不能在构造函数中因为使用操作而返回false或者错误,因为在声明和实例化一个对象的时候,是不能返回错误的;

    4.2.7 语句断行, 每行控制在80个字符以内
    在代码书写中,遵循以下原则:
    a. 尽量保证程序语句一行就是一句,而不要让一行语句太长产生折行;
    b. 尽量不要使一行的代码太长,一般控制在80个字符以内;
    c. 如果一行代码太长,请使用类似 .= 的方式断行书写;
    d. 对于执行数据库的sql语句操作,尽量不要在函数内写sql语句,而先用变量定义sql语句,然后在执行操作的函数中调用定义的变量;
    例子:
    $sql = "SELECT username,password,address,age,postcode FROM test_t ";
    $sql .= " WHERE username='aaa'";
    $res = mysql_query($sql);

    4.2.8 不要不可思议的数字
    一个在源代码中使用了的赤裸裸的数字是不可思议的数字,因为包括作者,在三个月内,没人它的含义。例如:

    if      (22 == $foo)
    {

    start_thermo_nuclear_war();
    }

    else if (19 == $foo)
    {
    refund_lotso_money();
    }

    else
    {
    cry_cause_im_lost();
    }

    你应该用define()来给你想表示某样东西的数值一个真正的名字,而不是采用赤裸裸的数字,例如:

    define("PRESIDENT_WENT_CRAZY", "22");
    define("WE_GOOFED", "19")
    ;
    define("THEY_DIDNT_PAY", "16")
    ;
     
    if ( PRESIDENT_WENT_CRAZY == $foo)

    {

    start_thermo_nuclear_war()
    ;
    }

    else if (WE_GOOFED == $foo)
    {

    refund_lotso_money();
    }

    else if (THEY_DIDNT_PAY == $foo)
    {
    infinite_loop();
    }

    else
    {
    happy_days_i_know_why_im_here();
    }

    4.2.9 true/false和0/1判断
    遵循以下规则:
    a. 不能使用0/1代替true/false,在PHP中,这是不相等的;
    b. 不要使用非零的表达式、变量或者方法直接进行true/false判断,而必须使用严格的完整true/false判断;
    如:不使用if ($a) 或者if (checka()) 而使用if (FALSE != $a)或者 if (FALSE != check())

    4.2.10 避免嵌入式赋值
    在程序中避免下面例子中的嵌入式赋值:
    不使用这样的方式:
    while ($a != ($c = getchar()))
    {
    process the character
    }

    4.2.11 错误返回检测规则
    检查所有的系统调用的错误信息,除非你要忽略错误。
    为每条系统错误消息定义好系统错误文本,并记录错误LOG。

    4.3 程序注释
    每个程序均必须提供必要的注释,书写注释要求规范,参照PEAR提供的注释要求,为今后利用phpdoc生成php文档做准备。程序注释的原则如下:
    a. 注释中除了文件头的注释块外,其他地方都不使用//注释,而使用/* */的注释;
    b. 注释内容必须写在被注释对象的前面,不写在一行或者后面;

    4.3.1 程序头注释块
    每个程序头部必须有统一的注释块,规则如下:
    a. 必须包含本程序的描述;
    b. 必须包含作者;
    c. 必须包含书写日期;
    d. 必须包含版本信息;
    e. 必须包含项目名称;
    f. 必须包含文件的名称;
    g. 重要的使用说明,如类的调用方法、注意事项等;
    参考例子如下:

    <?php
    //
    // +---------------------------------------------------------+
    // | PHP version 4.0                                         |
    // +---------------------------------------------------------+
    // | Copyright (c) 1997-2001 The PHP Group                   |
    // +---------------------------------------------------------+
    // | This source file is subject to  of the PHP license,     |
    // | that is bundled with this packafile LICENSE, and is     |
    // | available at through the world-web at                   |
    // | http://www.php.net/license/2_02.txt.                    |
    // | If you did not receive a copy of the  and are unable to |
    // | obtain it through the world-wide-web,end a note to      |
    // | license@php.net so we can mail you a immediately.       |
    // +---------------------------------------------------------+
    // | Authors: Stig Bakken <ssb@fast.no>                      |
    // |          Tomas V.V.Cox <cox@idecnet.com>                |
    // |                                                         |
    // +---------------------------------------------------------+
    //
    // $Id: Common.php,v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $

    4.3.2 类的注释
    类的注释采用里面的参考例子方式:

    /**
    * @ Purpose:
    * 访问数据库的类,以ODBC作为通用访问接口
    *
    @Package
    Name: Database
    * @Author: Forrest Gump
    gump@crtvu.edu.cn

    * @Modifications:
    * No20020523-100:
    * odbc_fetch_into()参数位置第二和第三个位置调换
    * John Johnson
    John@crtvu.edu.cn

    * @See: (参照)
    */

    class Database

    {

    ……
    }

    4.3.3 函数和方法的注释
    函数和方法的注释写在函数和方法的前面,采用类似下面例子的规则:

    /**
    * @Purpose:
    * 执行一次查询
    *
    @Method
    Name: Query()
    *
    * @Param: string $queryStr SQL查询字符串
    * @Param: string $username 用户名
    *
    * @Author: Michael Lee
    *
    * @Return: mixed 查询返回值(结果集对象)
    */

    function$queryStr,$username

    {……}

    4.3.4 变量或者语句注释
    程序中变量或者语句的注释遵循以下原则:
    a. 写在变量或者语句的前面一行,而不写在同行或者后面;
    b. 注释采用/* */的方式;
    c. 每个函数前面要包含一个注释块。内容包括函数功能简述,输入/输出参数,预期的返回值,出错代码定义。
    d. 注释完整规范。
    e. 把已经注释掉的代码删除,或者注明这些已经注释掉的代码仍然保留在源码中的特殊原因。
    f.
    例子:

    /**
    * @Purpose:
    * 数据库连接用户名
    * @Attribute/Variable Name: db_user_name
    * @Type: string
    */

    var db_user_name;

    4.4 其他规范(建议)

    4.4.1 php代码标记
    所有的php程序代码块标记均使用

    4.4.2 程序文件名、目录名
    程序文件名和目录名命名均采用有意义的英文方式命名,不使用拼音或无意义的字母,同时均必须使用小写字母,多个词间使用_间隔。

    4.4.3 PHP项目通常的文件目录结构
    建议在开发规范的独立的PHP项目时,使用规范的文件目录结构,这有助于提高项目的逻辑结构合理性,对应扩展和合作,以及团队开发均有好处。
    一个完整独立的PHP项目通常的文件和目录结构如下:
    / 项目根目录
    /manage 后台管理文件存放目录
    /css css文件存放目录
    /doc 存放项目文档
    /images 所有图片文件存放路径(在里面根据目录结构设立子目录)
    /scripts 客户端js脚本存放目录
    /tpl 网站所有html的模版文件存放目录
    /error.php 错误处理文件(可以定义到apache的错误处理中)

    以上目录结构是通常的目录结构,根据具体应用的具体情况,可以考虑不用完全遵循,但是尽量做到规范化。

    4.4.4 PHP和HTML代码的分离问题
    对性能要求不是很高的项目和应用,我们建议不采用PHP和HTML代码直接混排的方式书写代码,而采用PHP和HTML代码分离的方式,即采用模版的方式处理,这样一方面对程序逻辑结构更加清晰有利,也有助于开发过程中人员的分工安排,同时还对日后项目的页面升级该版提供更多便利。
    对于一些特殊情况,比如对性能要求很高的应用,可以不采用模版方式。

    4.4.5 PHP项目开发中的程序逻辑结构
    对于PHP项目开发,尽量采用OOP的思想开发,尤其在PHP5以后,对于面向对象的开发功能大大提高。
    在PHP项目中,我们建议将独立的功能模块尽量写成函数调用,对应一整块业务逻辑,我们建议封装成类,既可以提高代码可读性,也可以提高代码重用性。比如,我们通常将对数据库的接口封装成数据库类,有利于平台的移植。
    重复的代码要做成公共的库。(除了我们在plug-in产品上遇到的情况,该产品系列有多个相类似的产品,为了尽可能地减少安装包尺寸,不适合将这些产品共用的所有函数做成公共的库)

    5 特定环境下PHP编码特殊规范

    5.1 变量定义
    XXX环境下的php代码编写要求所有的变量均需要先申明后使用,否则会有错误信息,对于数组,在使用一个不确定的key时,比如先进行isset()的判断,然后再使用;比如下面的代码:
    $array = array();
    $var = isset($array[3]) ? $array[3] : “”;

    5.2 引用的使用
    引用在程序中使用比较多,为了公用同一个内存,而不需要另外进行复制,XXX环境下的引用使用时,需要注意下面的情况;
    在对函数的输入参数中使用引用时,不能在调用的时候在输入参数前加&来引用,而直接使用该变量即可,同时必须在函数定义的时候说明输入参数来自引用,比如下面的代码:
    $a = 1;
    function ab(&$var)
    {
    $var ++;
    return $var;
    }
    $b = ab($a) // 注意,此处不能使用 $b = ab(&$a)的方式;
    echo $b.”/n”;
    echo $a.”/n”;
    此时 $a和$b都是2;

    XXX环境下对引用的特殊要求源自php.ini文件里面的allow_call_time_pass_reference 项设置, 对外公开的版本是 On ,这样就可以支持&直接加到调用函数时变量前面进行引用,但是这一方法遭到抗议,并可能在将来版本的PHP/Zend里不再支持。受到鼓励的指定哪些参数按引用传递的方法是在函数声明里。你被鼓励尝试关闭这一选项(使用 off,XXX的所有运行环境下都是off)并确认你的脚本仍能正常工作,以保证在将来版本的语言里它们仍能工作。

    5.3 变量的输入输出
    在XXX环境下,对web通过GET或者POST方法传递来的参数均要求进行严格的过滤和合法性验证,不推荐使用直接的$_GET、$_POST或者$_REQUEST获取,而通过XXX的XXX_yiv模块提供的方法获取和过滤处理

    规范完!

    说明:规范中提到的XXX环境是特别指的xx曾经工作的XXX公司特定开发环境!

    展开全文
  • OAuth2:规范兼容、安全默认PHP OAuth 2.0服务器
  • 佳付通商户API接口技术开发文档文档供商户和本项目的后续开发维护人员使用,为了业务系统的安全,请严格不泄露本API接口开发文档。接口商户可以在自己的页面带入一些附加信息,佳付通API接口在回调时将该信息原样...
  • PHP安全 [安全编码]

    千次阅读 2021-05-25 10:34:54
    最好的安全机制应该能在不防碍用户,并且不过多地增加开发难度的情况下做到能满足需求。 木桶原理,一个系统的的强度是由它最薄弱的环节决定的。 安全编码细则: 所有输入的数据都是有害的(直接或者间接由用户...
  • 主要用于弄清楚为什么会有线程安全与非线程安全的不同语言版本,以及这种情况是不是一直存在,是否有解决统一的办法吗~
  • 第 17 章 安全开发流程( SDL ) 安全开发流程,能够帮助企业以最小的成本提高产品的安全性。它符合“ Secure at the Source ”的战略思想。实施好安全开发流程,对企业安全的发展来说,可以起到事半功倍的效果。 ...
  • 文章目录一、S-SDLC二、 S-SDLC流程三、S-SDLC项目流程 ...S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软件企业降低安全问些,提升软件安全质量。S-SDLC的理念来源
  • 开发须知的TOP20漏洞编码安全规范

    千次阅读 2018-04-04 11:27:57
    4、仅传递一个回调url作为参数是不安全的,增加一个参数签名,保证回调url不被修改,在控制页面转向的地方校验传入的URL是否为公司域名(或者其他可信域名) 如以下是一段校验是否公司域名的JS函数 function ...
  • PHP开发APP接口实现--基本篇

    万次阅读 2018-10-22 14:51:22
    最近一段时间一直在做APP接口,总结一下APP接口开发以来的心得,与大家分享: 1. 客户端/服务器接口请求流程: 安卓/IOS客户端 –&gt; PHP接口 –&gt; 服务器端 –&gt; 数据处理 –&gt; 返回值...
  • PHP100视频教程53:PHP如何防止注入及开发安全 PHP100视频教程54:Apache Rewrite 拟静态配置 PHP100视频教程55:PHP5中使用PDO连接数据库 PHP100视频教程56:制作PHP安装程序的原理和步骤 PHP100视频教程57:...
  • php开发和java的区别

    千次阅读 2018-11-06 15:55:02
    功能强大,分支众多,没有java不能做的软件,PHP有他独特的领域,那就是WEB在这方面没有可以和他相比较,其与java相比较之下在这一方面基本上完胜java 因其专注的领域不同 所以没有太大可比性,PHP适合于快速开发,...
  • 2022年4月27日,数说安全正式发布《2022年中国网络安全市场全景图》(以下简称全景图),海云安实力上榜应用安全测试、移动应用安全、开发安全三个领域。 数说安全作为一家行业内以数据为基础的知名网络安全产业...
  • SDL:Security Development Lifecycle 安全开发生命周期 培训 要求 设计 实施 验证 发布 响应 核心安全培训 确定安全要求 创建质量门/错误标尺 安全和隐私风险评估 ...
  • 项目开发安全经验总结

    千次阅读 2019-01-26 14:21:56
    项目开发安全管理总结 1、 安全思维 a) 严格控制权限,最小业务授权; b) 记录详细日志,快速完整识别追查问题发生的位置; c) 定时备份(完整备份、每日增量备份),增加业务恢复可能; d) 核心数据加密,减少...
  • 安全开发流程(SDL)

    千次阅读 2019-03-25 14:44:50
    SDL:Security Development Lifecycle 安全开发生命周期 培训 要求 设计 实施 验证 发布 响应 核心安全培训 确定安全要求 创建质量门/错误标尺 安全和隐私风险评估 ...
  • learn-php:学习现代PHP

    2021-05-04 04:31:13
    数据库规范化 准备的陈述 NoSQL 数据库库 数据库工具 标准品 错误和异常处理 调试 单元测试 文献资料 届会 文字翻译 常用表达 XML格式 原料药 休息 肥皂 版本控制 安全 建筑学 域驱动设计(DDD) 六角建筑 功能...
  • PHP代码安全检测

    千次阅读 2017-09-05 11:26:52
    它的目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。 代码审核不是简单的检查代码,审核代码的原因是确保代码能安全的做到对信息和资源...
  • 蓝色小程序网站pbootcms模板-小程序电商软件开发公司网站源码(pc+wap) pbootcms内核开发的营销型网站模板,该模板适用于小程序网站、软件公司网站等企业; pc+wap同一个后台,数据即时同步,简单适用!附带测试...
  • Windows下的PHP开发环境搭建——PHP线程安全与非线程安全、Apache版本选择,及详解五种运行模式。 今天为在Windows下建立PHP开发环境,在考虑下载何种PHP版本时,遭遇一些让我困惑的情况,为了解决这些困惑,不出...
  • ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 43,159
精华内容 17,263
关键字:

php开发安全规范