在编写PHP应用之际，开发者常常会遭遇到一个核心的矛盾点：语言具备的灵活且便捷的特性，与因这一特性而产生的安全隐患是同时存在的。这样的一种设计致使大量的错误在程序运行的时候，并非被马上终止，而是被默默地容忍着，进而为整个系统埋下了不容易被发觉的脆弱之处。

PHP的宽松类型与隐式转换

$db_link = mysqli_connect('localhost', 'dbuser', 'dbpassword', 'dbname');
function can_access_feature($current_user) {
   global $db_link;
   $username = mysqli_real_escape_string($db_link, $current_user->username);
   $res = mysqli_query($db_link, "SELECT COUNT(id) FROM blacklisted_users WHERE username = '$username';");
   $row = mysqli_fetch_array($res);
   if ((int)$row[0] > 0) {
       return false;
   } else {
       return true;
   }
}
if (!can_access_feature($current_user)) {
   exit();
}
// Code for feature here

PHP之中的变量类型具备着异常灵活的特性，众多的操作符以及函数会依照默认情况去执行类型转换。举例而言，比较操作符“==”会开展松散形式的自动转换，并且“in_array”这类函数在没有进行严格类型检查的状况下也有可能产生并非预期的结果。此种隐式的行为尽管具备便利性，然而却极有可能引发逻辑方面的漏洞，比方说会把字符串“0e123”错误地判定为数值零，进而借此绕过安全检查。

错误处理机制的缺失

$supplied_nonce = $_GET['nonce'];
$correct_nonce = get_correct_value_somehow();
if (strcmp($supplied_nonce, $correct_nonce) == 0) {
    // Go ahead and reset the password
} else {
   echo 'Sorry, incorrect link';
}

http://example.com/?nonce[]=a

Python等语言跟Java不一样，PHP拥有好多内置函数，当这些函数出错的时候，不会抛出异常，而是返回“false”，或者触发警告，程序依旧会继续执行下去。比如说，文件操作要是失败了，可能仅仅返回一个警告。这样一来，错误状态就很容易被忽略掉，而developer非要手动去检查每个函数的返回值才行，不然的话，程序有可能会在错误的逻辑上面继续运行，数据完整性也就没办法保证了 。

程序容错与安全边界的冲突

在多数高级语言里头，未处理的运行时错误会致使程序停止，这造就了一道安全边界。然而PHP在默认状况下允许好多错误持续执行。这种较高的容错性最初的目的是为了确保Web服务不会中断，可是其副作用是使得不安全的代码得以留存，就像数据库查询失败之后依旧渲染页面，这有可能泄露敏感的错误路径信息。

if ($_FILES['some_name']['type'] == 'image/jpeg') {  
   //Proceed to accept the file as a valid image
}

数据库访问的推荐方式

$finfo = new finfo(FILEINFO_MIME_TYPE);
$fileContents = file_get_contents($_FILES['some_name']['tmp_name']);
$mimeType = $finfo->buffer($fileContents);

出于应对上述所呈现的问题这一目的，在对数据库进行访问之际，极为强烈地推荐运用PDO扩展。因为PDO在默认状态下对预处理语句予以了支持，可把SQL指令同数据分离开来，从根源上杜绝SQL的注入情况发生。与此同时，PDO能够借助将错误模式设置为“PDO::ERRMODE_EXCEPTION”，把数据库所产生的错误转化成为异常情况，进而迫使开发者去进行主动性的处理，以此创建出更加坚固稳定的数据层。

$sql = "SELECT * FROM users WHERE username = '" . $username . "';";

配置文件对行为的强依赖

$sql = "SELECT * FROM users WHERE username = '$username';";

PHP应用的行为对“php.ini”等这般的配置文件有着高度的依赖性，如 “display_errors” 设置为是否向用户展示错误详情予以控制，不同的第三方库有可能需求冲突的配置，致使整合变得艰难，一个于生产环境中将错误显示关闭的应用，也许会因引入某个库时意外地开启了调试信息，进而造成敏感数据的泄露 。

默认缺乏的Web安全机制

$DB = new mysqli($Host, $Username, $Password, $DatabaseName);
if (mysqli_connect_errno())
trigger_error("Unable to connect to MySQLi database.");
$DB->set_charset('UTF-8');

PHP 首要以模板语言开展设计，然而其核心函数并未照默认情况奉上 HTML 转义。径直将用户数据进行输出分外易于致使 XSS 跨站脚本攻击。同样道理，PHP 本身也没有内置 CSRF（跨站请求伪造）防护机制，要是开发者仅对其基本功能予以运用，却不晓得这些安全概念，所构建的应用将会面临巨大风险 。

曾有过，在项目里，就是由于PHP某一“宽容”特性，从而碰到过难以实行调试操作的安全漏洞、或者逻辑方面出现过错的情况吗？欢迎于评论区域，去分享自身经历以及解决做法哦 ， 。

preg_replace("/.*/e","system('echo /etc/passwd')");