PHP網(wǎng)絡(luò)安全在電子商務(wù)中的應(yīng)用

摘 要：PHP已經(jīng)成為了全球最受歡迎的網(wǎng)絡(luò)編程語言之一，其應(yīng)用方式不僅能夠?yàn)槭褂谜咛峁└咝У木W(wǎng)絡(luò)服務(wù)，還具有一定靈活性，在電子商務(wù)中應(yīng)用效果尤為突出。但是安全問題仍然是人們最為關(guān)注的問題。本文將會簡單研究PHP網(wǎng)絡(luò)安全在電子商務(wù)中的應(yīng)用情況和相關(guān)問題。

關(guān)鍵詞：PHP；網(wǎng)絡(luò)安全；電子商務(wù)

中圖分類號：TP393.08

1 PHP簡介

作為語言程序的一種，PHP最初是以維護(hù)個人網(wǎng)頁為主要目的被創(chuàng)造出來的。1994年，Rasmus Lerdorf首次利用Perl語言編寫了PHP語言程序，后來經(jīng)過改造重新采用C語言進(jìn)行編寫。經(jīng)過不斷地完善和改造后，PHP能夠和數(shù)據(jù)庫進(jìn)行連接，生成簡單的動態(tài)網(wǎng)頁程序。而在1995年，Rasmus Lerdorf把經(jīng)過完善和改造之后的PHP開始對外發(fā)表，并發(fā)布了PHP1.0。PHP1.0能夠?yàn)榫W(wǎng)頁提供訪客計數(shù)器等簡單的功能。當(dāng)PHP1.0推出之后，使用這種語言程序的網(wǎng)站越來越多，而對于PHP1.0的需求和要求也越來越多。PHP在專業(yè)人員的不斷開發(fā)和研究之下，一直到現(xiàn)在，PHP已經(jīng)發(fā)展到有PHP5.6.2，并對于PHP6.0有了初步的設(shè)想。隨著PHP的出現(xiàn)和發(fā)展，PHP已經(jīng)逐漸成為ASP和JSP的取代品。PHP語言和ASP語言雖然都是當(dāng)今全球較熱門的網(wǎng)站程序開發(fā)腳本語言，但是PHP語言程序有自己的優(yōu)點(diǎn)，例如成本低、運(yùn)行速度快、可根據(jù)網(wǎng)站運(yùn)行情況內(nèi)置豐富的函數(shù)庫等，所以總的來說，PHP既能夠擁有其他類型網(wǎng)站語言程序的優(yōu)點(diǎn)，還具有一定的簡易性，可以在不同平臺間靈活移植，其發(fā)展?jié)摿κ菬o可估量的。

2 在電子商務(wù)中容易出現(xiàn)的網(wǎng)絡(luò)安全問題

隨著時代的發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展不斷繁榮起來，加上網(wǎng)絡(luò)經(jīng)濟(jì)的便利性，電子商務(wù)日益受到人們的重視。人們普遍會把介紹互聯(lián)網(wǎng)進(jìn)行的網(wǎng)絡(luò)交易活動視為電子商務(wù)，電子商務(wù)活動并不僅僅是企業(yè)和企業(yè)之間的交易，更多的是個人和企業(yè)之間、企業(yè)內(nèi)部所發(fā)生的商務(wù)活動。在網(wǎng)絡(luò)上進(jìn)行交易活動，最重要的就是信息的保密性和安全性，互聯(lián)網(wǎng)中的信息最容易導(dǎo)致電子商務(wù)中出現(xiàn)多種網(wǎng)絡(luò)安全問題：

2.1 對于用戶的輸入未能夠進(jìn)行全面的認(rèn)證

以電子形式進(jìn)行交易，取代了傳統(tǒng)的紙張交易形式，交易的雙方可以進(jìn)行遠(yuǎn)距離交易，變得更加便捷和簡單。但是從另一方面看來，電子商務(wù)方式令交易雙方的身份也變得更加模糊。進(jìn)行交易的雙方可能素未謀面，更可能是陌生人，所以在進(jìn)行交易的期間，確認(rèn)對方身份和認(rèn)證雙方的輸入是十分重要的。確認(rèn)雙方的真實(shí)身份不僅能夠令交易的雙方相互信任，還可以令整個交易過程變得更加方便和安全。

2.2 交易信息的保密性

在電子交易的過程中，交易雙方需要輸入多種信息，如交易雙方的個人信息、密碼、郵箱等，這些信息對于交易雙方都十分重要，因此對于這些信息必須要進(jìn)行嚴(yán)謹(jǐn)?shù)谋Ｃ芄ぷ鳌Ｒ坏┏霈F(xiàn)泄露或者被盜取的情況，不僅會令企業(yè)失去了商機(jī)，甚至?xí)τ脩粼斐韶敭a(chǎn)性命安全的威脅。因此，在進(jìn)行電子商務(wù)的交易過程中，必須要確保交易信息的安全性，做好預(yù)防工作，避免信息被非法盜取或者泄露的可能性。

2.3 網(wǎng)絡(luò)漏洞未能夠及時發(fā)現(xiàn)

網(wǎng)絡(luò)交易的整個過程中，其安全保證就是網(wǎng)站的安全代碼設(shè)計。但不少網(wǎng)站開發(fā)和設(shè)計方對于網(wǎng)站安全代碼設(shè)計并不重視，而且對其了解并不深入。這一缺失導(dǎo)致網(wǎng)站在實(shí)際的運(yùn)營中容易被黑客發(fā)現(xiàn)漏洞，并從漏洞入侵到網(wǎng)站的數(shù)據(jù)庫中。而另一方面，如果開發(fā)方發(fā)現(xiàn)網(wǎng)絡(luò)存在這漏洞，其修補(bǔ)方式也比較片面，只著重于網(wǎng)站的頁面修復(fù)，對于出現(xiàn)漏洞的主要原因和設(shè)計不進(jìn)行深入的研究，更不用說對網(wǎng)站安全源代碼的設(shè)計進(jìn)行完善或者改造了。

2.4 交易平臺的可靠性

電子商務(wù)系統(tǒng)實(shí)際上就是計算機(jī)系統(tǒng)，而所謂的交易平臺的可靠性是就是防止計算機(jī)系統(tǒng)在運(yùn)行過程中出現(xiàn)信息失效、程序錯誤、傳輸錯誤、硬件故障、系統(tǒng)軟件錯誤等錯誤，導(dǎo)致對交易信息產(chǎn)生潛在的威脅，對交易平臺的運(yùn)行工作進(jìn)行嚴(yán)格控制和預(yù)防，確保電子商務(wù)系統(tǒng)運(yùn)行的安全性和可靠性。要確保電子商務(wù)交易平臺的可靠性，主要的工作內(nèi)容是確保計算機(jī)系統(tǒng)的安全，在電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸、數(shù)據(jù)存儲的過程中，確保信息的完整性和保密性。計算機(jī)網(wǎng)絡(luò)本身容易遭到外界的破壞和入侵，而計算機(jī)網(wǎng)絡(luò)最容易受到入侵的形式是計算機(jī)病毒。所謂的計算機(jī)病毒，實(shí)際上就是通過修改其他程序而把自身或其變種不斷自制的程序，還可以通過網(wǎng)絡(luò)、數(shù)據(jù)傳輸?shù)确绞健皞魅尽逼渌嬎銠C(jī)。目前我國遇到較為嚴(yán)重的計算機(jī)病毒主要有計算機(jī)蠕蟲、特洛伊木馬、以及邏輯炸彈。這幾種病毒能夠?qū)﹄娮由虅?wù)的交易平臺產(chǎn)生不同程度的傷害，間接或者直接地傷害到交易雙方的利益。

3 PHP網(wǎng)絡(luò)安全在電子商務(wù)的應(yīng)用

3.1 對于電子商務(wù)系統(tǒng)的輸出應(yīng)進(jìn)行適當(dāng)?shù)霓D(zhuǎn)義

對于電子商務(wù)系統(tǒng)的輸出為能夠進(jìn)行適當(dāng)、及時的轉(zhuǎn)義，也會對電子商務(wù)系統(tǒng)帶來一定的安全漏洞，而跨站腳本漏洞就是一個很常見的案例。假設(shè)某網(wǎng)站能夠?yàn)橛慰吞峁┮粋€能夠發(fā)表評論的網(wǎng)絡(luò)系統(tǒng)，并采用表單的形式進(jìn)行數(shù)據(jù)提交。這種網(wǎng)絡(luò)運(yùn)營方式對于一般的用戶并不會帶來太大的問題。但是對于某些不懷好意的黑客來說，這就為他們?nèi)肭衷摼W(wǎng)站帶來了大好機(jī)會。當(dāng)黑客想要盜取登錄用戶的cookies的時候，并不需要真的需要在網(wǎng)站中發(fā)表評論，他們可以把某些特定的Javascript代碼作為評論內(nèi)容，在該網(wǎng)站中進(jìn)行提交，即可盜取到登錄用戶的cookies。舉個例子，如果該網(wǎng)站在信息輸出前，沒有對黑客所提交的評論內(nèi)容進(jìn)行適當(dāng)，或者任何形式的轉(zhuǎn)義的話，那么這段特定的Javascript代碼就會被其他登陸用戶的瀏覽器執(zhí)行，而在這個瀏覽器進(jìn)行評論的登錄用戶的cookies就能夠直接發(fā)送到http：//cheat.evil.org/hook.php中，而這名黑客黑客只要利用$_GET['cookies']，就可以輕松盜取到該網(wǎng)站登錄用戶的cookies了。這是跨站腳本漏洞一個較為經(jīng)典，但同時也是比較常見的網(wǎng)絡(luò)攻擊實(shí)例。為了避免這種網(wǎng)絡(luò)攻擊案例的發(fā)生和出現(xiàn)，該網(wǎng)站只需要在把登錄用戶的評論內(nèi)容輸出到客戶端瀏覽器之前，利用htmlentities（）函數(shù)對輸出內(nèi)容進(jìn)行適當(dāng)?shù)霓D(zhuǎn)義。這個函數(shù)就能夠把網(wǎng)站輸出內(nèi)容中可能包含的html標(biāo)簽轉(zhuǎn)換成html實(shí)體，令黑客輸入的Javascript代碼不能被瀏覽器執(zhí)行。當(dāng)然，在不同情況下，對于輸出信息的轉(zhuǎn)義方法也會有所不同，轉(zhuǎn)移的方式并不僅僅是并不局限于htmlentities（）函數(shù)，但需要注意的是，不論是什么網(wǎng)站，任何時候，都需要對系統(tǒng)的輸出進(jìn)行適當(dāng)?shù)霓D(zhuǎn)義，這樣才能夠確保黑客不會有機(jī)可乘。

3.2 PHP加密擴(kuò)展庫

為了確保交易雙方的信息安全，一般都會對交易信息進(jìn)行加密工作。而在PHP中，一般會對擴(kuò)展庫進(jìn)行加密。這種加密方式不僅能夠?qū)?shù)據(jù)進(jìn)行加密工作，還可以確保在傳輸過程中不被盜取或者泄露出去，為交易雙方都帶來了一定的保障。而常見的加密算法是采用mcrypt算法和mhash算法：

3.2.1 mcrypt。在mcrypt提供的數(shù)據(jù)處理函數(shù)中，較常用的函數(shù)有兩個，分別是mcrypt_encrypt（）函數(shù)和mcrypt_decrypt（）函數(shù)。前者是對交易數(shù)據(jù)進(jìn)行加密的函數(shù)，而后在則是常用的對數(shù)據(jù)進(jìn)行解密的函數(shù)。

3.2.2 mhash。Mhash支持的所有算法的名字都是以MHASH_開頭，而常見的算法有CRC32 HAVAL160 MD6和CRC32B HAVAL192 RIPEMD160等。

在電子商務(wù)系統(tǒng)的運(yùn)行中，網(wǎng)站和信息的安全問題日益成為人們關(guān)注的重點(diǎn)，要避免這些問題的出現(xiàn)，就需要專業(yè)的開發(fā)人員在研究和開發(fā)的過程中，對于安全問題多加注意，一旦發(fā)現(xiàn)漏洞，必須要對其進(jìn)行徹底的處理和解決。PHP的網(wǎng)絡(luò)安全技術(shù)只能夠?qū)儆谝环N簡單的安全技術(shù)，避免交易數(shù)據(jù)在傳輸?shù)倪^程中被盜取或泄露，如果想要提高網(wǎng)站運(yùn)行的安全可靠性，更多的還需要配合安全等級更高的安全服務(wù)器。

參考文獻(xiàn)：

[1]滕萍.云計算技術(shù)發(fā)展分析及其應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2012（11）：89-91.

[2]傅慧.動態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全，2012（12）：12-14.

作者簡介：閆紅梅（1983.05-），本科，理學(xué)學(xué)士，講師，研究方向：計算機(jī)科學(xué)與技術(shù)。

作者單位：鹽城交通技師學(xué)院，江蘇鹽城 224000