打造安全PHP系统

Web方面注入，xss防不胜防，但是最终的结果是上传php木马到web服务器中，进行下载网页源代码，或者dump数据库。

注入和xss是网页代码的问题，不同的程序员水平和经验不一样，开发出来的安全性肯定不一样，那么我想到的方法是在上传木马上做文章。

扯了这么多，先给大家看一段代码

echo "hello world";

这段代码是不是写错了？正常情况下应该不能跑的，但是在我刀郎的服务器中是正常运行的，恰恰正常代码不能在我服务器中跑。

echo "hello world";

那么我们怎么打造这样的刀郎安全php服务器啦？

这里我用Source Insight 4.0，搜索整个php源代码查找

下面是我已经修改后的 

"

HANDLE_NEWLINE(yytext[yyleng-1]);

BEGIN(ST_IN_SCRIPTING);

RETURN_TOKEN(T_OPEN_TAG);

}

"

if (CG(short_tags)) {

BEGIN(ST_IN_SCRIPTING);

RETURN_TOKEN(T_OPEN_TAG);

} else {

goto inline_char_handler;

}

}

保存。

我们需要重新生成zend_language_scanner.c

re2c --no-generation-date --case-inverted -cbdF -o zend_language_scanner.c  zend_language_scanner.l

 apt-get install gcc  make automake autoconf libtool bison flex libxml2-dev apache2-dev re2c

./configure --with-apxs2=/usr/bin/apxs

make 

4.3.1 安装apache2

apt-get install apache2

service apache2 start4.3.2 修改配置文件

4.3.3 重启apache2

service apache2 start