千锋郑州PHP学习难吗

千锋郑州PHP学习难吗
PHP技术和相关的人才，正是迎合目前的互联网的发展趋势，PHP作为非常的、简便的Web开发语言，和Linux，Apache，MySQL紧密结合，形成LAMP的开源黄金组合，不仅降低使用成本，还提升了开发速度，满足新的互动式网络开发的应用。今天千锋小编就来给大家分享一下PHP的四大安全策略。
一、文件系统安全
php如果具有root权限，且在脚本中允许用户删除文件，那么用户提交数据，不进行过滤，就非常有可能删除系统文件
<?php// 从用户目录中删除指定的文件
$username = $_POST['user_submitted_name'];
$userfile = $_POST['user_submitted_filename'];
$homedir = "/home/$username";
unlink ("$homedir/$userfile");
echo "The file has been deleted!";
?>
上面的代码，假设用户提交的$userfile值是 ../etc/，那么/etc目录就会被删除
防范文件系统攻击，策略如下
只给php有限的权限
用户提交上来的变量要监测和过滤，不能包含文件路径等特殊字符
尽量避免使用PHP操作文件（删除），如果有这方面的需求，那用户可删除文件也必须是系统生成的随机名称，不可被用户控制
二、数据库安全
数据库安全主要防范的是sql injection，即sql注入攻击，提升数据库安全的策略如下：
不用使用root帐号或者数据库所有者帐号连接数据库，连接数据库限定连接用户的ip
使用php的pdo扩展，有效防止sql注入，除了安全方面的优势，php的pdo扩展在性能方面有有很大优势
三、用户数据过滤
对用户数据过滤，可以防范XSS和CSRF攻击
使用白名单（用户输入是固定模式）的方式
比如用户名只能使用数字字母，那么可以使用函数ctype_alnum判断
对用户输入使用函数 htmlentities或者htmlspecialchars进行处理，输入url不允许传入非http协议
用户身份验证使用令牌 token(csrf)，http://htmlpur***/ HTML Purifier 是开源的防范xss攻击的有效解决方案，
四、其他安全策略
线上环境关闭错误报告(error_reporting,dislay_erros，可在ph***i中配置error_log路径，记录错误信息，这样有助于发现可能的用户攻击)
Register Globals,弃用（移除）的特性，不要使用
魔术引号特性，不要开启，在PHP-5.4中已经被移除
尽量使用PHP的新版本，新版本修复了已知的很多安全漏洞和bug
代码中严格遵守上述策略，基本能保证代码不会有太多的安全漏洞，能防范常见攻击。
在IT业和互联网的超速发展时代，企业对PHP程序员的需求也大量增加，但是因为国内PHP人才贮备的不足、培训体系的不健全以及国内Web开发人员对PHP的价值认识不够，造成 PHP人才非常稀缺。但是千锋教育有完善的培训体系结构，千锋之道，良心为本，卓绝教学，无私育人，千锋教育欢迎您的加入!
千锋教育：http://www.mobile***/
千锋郑州校区：http://zz.mobile***/
郑州校区地址：郑州市二七区航海中路60号海为科技园C区10层、12层
培训咨询专线：0371-55191750
咨 询 Q Q : 1660794050
面授课程：全栈HTML5+培训、UI交互设计培训、PHP培训、JavaEE+云数据培训、Android课程培训、iOS课程培训