1. PHP入侵檢測系統(tǒng)

PHP IDS(即PHP-入侵檢測系統(tǒng))是一套易于使用、結(jié)構(gòu)良好、速度出色且專門面向PHP類Web應(yīng)用程序的先進(jìn)安全層。這套入侵檢測系統(tǒng)既不提供任何緩和及殺毒機(jī)制，也不會對惡意輸入內(nèi)容進(jìn)行過濾，其作用單純?yōu)樽R別出攻擊者們針對站點進(jìn)行的惡意活動、并以大家需要的方式作出及時提醒。憑借著一整套經(jīng)過實踐檢驗及相當(dāng)嚴(yán)格的過濾規(guī)則，該檢測系統(tǒng)會針對任何攻擊活動給出一個影響評級數(shù)值，從而幫助用戶更輕松地了解應(yīng)如何應(yīng)對當(dāng)前出現(xiàn)的黑客攻擊。具體應(yīng)對方式多種多樣，包括簡單將日志紀(jì)錄通過緊急郵件發(fā)送給開發(fā)團(tuán)隊、顯示關(guān)于攻擊者的警告消息甚至立即中止用戶的當(dāng)前會話。

2. PHP Password Lib

PHP-PasswordLib旨在構(gòu)建起一套包羅萬象的密碼庫，將所有加密需求的應(yīng)對手段囊括于其中。它易于安裝且易于使用，具備可擴(kuò)展能力、極為強(qiáng)大，完全能夠滿足經(jīng)驗最為老到的開發(fā)人員的挑剔眼光。

3. PHPSecLib

phpseclib的設(shè)計目標(biāo)在于實現(xiàn)極強(qiáng)的兼容效果。其運行在PHP4+(若使用PHP_Compat則要求PHP4)基礎(chǔ)之上，且無需任何其它擴(kuò)展。對于重視速度表現(xiàn)的用戶而言，也可以配合使用mcrypt、gmp以及bcmath(按順序)，但三者并非必需。

4.TCrypto

TCrypto是一套簡單且極具靈活性的PHP 5.3+內(nèi)存內(nèi)鍵-值存儲庫。在默認(rèn)情況下，其利用cookie作為存儲后端。TCrypto在構(gòu)建之初就將安全性充分考慮在其中。安全算法與模式一應(yīng)俱全、自動化與安全初始化向量生成能力兼?zhèn)?、加密與認(rèn)證密鑰創(chuàng)建(Keytoll)擁有極強(qiáng)的隨機(jī)特性、并有密鑰轉(zhuǎn)換(即版本化密鑰)作為輔助。TCrypto能夠作為一套可擴(kuò)展性“會話處理程序”使用。特別是在利用cookie作為存儲后端時，其可擴(kuò)展能力將更為突出。從這方面出發(fā)，TCrypto與Ruby on Rails會話頗有幾分相似。

5. HTML Purifier

HTML Purifier是一套利用PHP語言編寫的標(biāo)準(zhǔn)化HTML過濾庫。HTML Purifier不僅能夠?qū)⑼ㄟ^一套經(jīng)過全面審計的安全許可白名單清除全部惡意代碼(俗稱XSS)，還能夠確保用戶的文件符合標(biāo)準(zhǔn)要求——有了它的幫助，滿足W3C規(guī)范將不再是難題。

6. URLcrypt

URLcrypt能夠輕松安全地將簡短二進(jìn)制數(shù)據(jù)片段傳送至URL當(dāng)中。利用它，我們能夠以安全方式保存用戶ID、下載到期日期以及其它一些常見信息。URLcrypt采用256位AES對稱加密機(jī)制以實現(xiàn)數(shù)據(jù)安全加密，其編碼與解碼庫包含32個字符，且能夠被直接應(yīng)用在URL當(dāng)中。

7. Hybrid Auth

Hybrid Auth是一套開源PHP庫，用于對多種社交服務(wù)及ID供應(yīng)方進(jìn)行驗證。這其支持的服務(wù)類型包括OpenID、Facebook、領(lǐng)英、谷歌、Twitter、Windows Live、Foursquare、Vimeo、雅虎以及PayPal等等。用戶可以通過向登錄/登入頁面插入單一文件或者幾行代碼的方式輕松將其與現(xiàn)有網(wǎng)站相整合。

8. 安全檢查 – Sensiolabs

這款工具對于新手以及經(jīng)驗老到的PHP編程人員都極具實際意義。它的運作原理非常簡單，用戶只需要將自己的.lock文件進(jìn)行上傳，其它的工作就可全部交給Sensiolabs來完成。如果大家認(rèn)真查看數(shù)據(jù)統(tǒng)計，就會意識到由其發(fā)現(xiàn)的漏洞數(shù)量有多么龐大。我們很可能在不知不覺間讓自己的項目輸出大量惡意內(nèi)容，而Sensiolabs的出現(xiàn)則足以幫助我們以更為積極的方式防患于未然。

9. PHP Login Project

PHP Login Project是一套腳本，旨在將驗證機(jī)制加入到我們的PHP項目當(dāng)中。網(wǎng)絡(luò)上存在大量相關(guān)教程，能夠引導(dǎo)大家將其安裝在不同配置類型的服務(wù)器之上，同時提供該腳本的最小化以及單一文件版本。

10. SecurityMultiTool

這套MultiTool庫能夠為大家推薦適合的安全相關(guān)庫、標(biāo)準(zhǔn)化安全防御實現(xiàn)以及常見任務(wù)安全執(zhí)行實現(xiàn)方案。這套庫的創(chuàng)建目標(biāo)在于既提供一款實用笥工具，又能夠作為目標(biāo)實現(xiàn)的參考性資料。無論大家的應(yīng)用程序是否基于Web應(yīng)用框架，我們都應(yīng)該將SecurityMultiTool納入其中——畢竟單靠Web應(yīng)用程序架構(gòu)還遠(yuǎn)遠(yuǎn)無法實現(xiàn)安全保障。

最新評論