开发中php安全性要考虑哪些?1、把握整站的结构,避免泄露站点敏感目录在写代码之初,我也是像很多老源码一样,在根目录下放上index.php、register.php、login.php,用户点击注册页面,就跳转到
http://localhost/register.php并没有太多的结构的思想,像这样的代码结构,最大的问题倒不是安全性问题,而是代码扩展与移植问题在写代码的过程中,我们常要对代码进行修改,这时候如果代码没有统一的一个入口点,我们可能要改很多地方。
后来我读了一点emlog的代码,发现网站真正的前端代码都在模板目录里,而根目录下就只有入口点文件和配置文件这才顿悟,对整个网站的结构进行了修改网站根目录下放上一个入口点文件,让它来对整个网站所有页面进行管理,这个时候注册页面变成了http://localhost/?act=register,任何页面只是act的一个参数,在得到这个参数后,再用一个switch来选择要包含的文件内容。
在这个入口点文件中,还可以包含一些常量的定义,比如网站的绝对路径、网站的地址、数据库用户密码以后我们在脚本的编写中,尽量使用绝对路径而不要使用相对路径(否则脚本如果改变位置,代码也要变),而这个绝对路径就来自入口点文件中的定义。
当然,在安全性上,一个入口点文件也能隐藏后台地址像这样的地址http://localhost/?act=xxx不会暴露后台绝对路径,甚至可以经常更改,不用改变太多代码一个入口点文件也可以验证访问者的身份,比如一个网站后台,不是管理员就不允许查看任何页面。
在入口点文件中就可以验证身份,如果没有登录,就输出404页面有了入口点文件,我就把所有非入口点文件前面加上了这句话:
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。