摘 要：PHP已經(jīng)成為了全球最受歡迎的網(wǎng)絡(luò)編程語言之一，其應(yīng)用方式不僅能夠?yàn)槭褂谜咛峁└咝У木W(wǎng)絡(luò)服務(wù)，還具有一定靈活性，在電子商務(wù)中應(yīng)用效果尤為突出。但是安全問題仍然是人們最為關(guān)注的問題。本文將會(huì)簡單研究PHP網(wǎng)絡(luò)安全在電子商務(wù)中的應(yīng)用情況和相關(guān)問題。

關(guān)鍵詞：PHP；網(wǎng)絡(luò)安全；電子商務(wù)

中圖分類號(hào)：TP393.08

1 PHP簡介

作為語言程序的一種，PHP最初是以維護(hù)個(gè)人網(wǎng)頁為主要目的被創(chuàng)造出來的。1994年，Rasmus Lerdorf首次利用Perl語言編寫了PHP語言程序，后來經(jīng)過改造重新采用C語言進(jìn)行編寫。經(jīng)過不斷地完善和改造后，PHP能夠和數(shù)據(jù)庫進(jìn)行連接，生成簡單的動(dòng)態(tài)網(wǎng)頁程序。而在1995年，Rasmus Lerdorf把經(jīng)過完善和改造之后的PHP開始對(duì)外發(fā)表，并發(fā)布了PHP1.0。PHP1.0能夠?yàn)榫W(wǎng)頁提供訪客計(jì)數(shù)器等簡單的功能。當(dāng)PHP1.0推出之后，使用這種語言程序的網(wǎng)站越來越多，而對(duì)于PHP1.0的需求和要求也越來越多。PHP在專業(yè)人員的不斷開發(fā)和研究之下，一直到現(xiàn)在，PHP已經(jīng)發(fā)展到有PHP5.6.2，并對(duì)于PHP6.0有了初步的設(shè)想。隨著PHP的出現(xiàn)和發(fā)展，PHP已經(jīng)逐漸成為ASP和JSP的取代品。PHP語言和ASP語言雖然都是當(dāng)今全球較熱門的網(wǎng)站程序開發(fā)腳本語言，但是PHP語言程序有自己的優(yōu)點(diǎn)，例如成本低、運(yùn)行速度快、可根據(jù)網(wǎng)站運(yùn)行情況內(nèi)置豐富的函數(shù)庫等，所以總的來說，PHP既能夠擁有其他類型網(wǎng)站語言程序的優(yōu)點(diǎn)，還具有一定的簡易性，可以在不同平臺(tái)間靈活移植，其發(fā)展?jié)摿κ菬o可估量的。

2 在電子商務(wù)中容易出現(xiàn)的網(wǎng)絡(luò)安全問題

隨著時(shí)代的發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展不斷繁榮起來，加上網(wǎng)絡(luò)經(jīng)濟(jì)的便利性，電子商務(wù)日益受到人們的重視。人們普遍會(huì)把介紹互聯(lián)網(wǎng)進(jìn)行的網(wǎng)絡(luò)交易活動(dòng)視為電子商務(wù)，電子商務(wù)活動(dòng)并不僅僅是企業(yè)和企業(yè)之間的交易，更多的是個(gè)人和企業(yè)之間、企業(yè)內(nèi)部所發(fā)生的商務(wù)活動(dòng)。在網(wǎng)絡(luò)上進(jìn)行交易活動(dòng)，最重要的就是信息的保密性和安全性，互聯(lián)網(wǎng)中的信息最容易導(dǎo)致電子商務(wù)中出現(xiàn)多種網(wǎng)絡(luò)安全問題：

2.1 對(duì)于用戶的輸入未能夠進(jìn)行全面的認(rèn)證

以電子形式進(jìn)行交易，取代了傳統(tǒng)的紙張交易形式，交易的雙方可以進(jìn)行遠(yuǎn)距離交易，變得更加便捷和簡單。但是從另一方面看來，電子商務(wù)方式令交易雙方的身份也變得更加模糊。進(jìn)行交易的雙方可能素未謀面，更可能是陌生人，所以在進(jìn)行交易的期間，確認(rèn)對(duì)方身份和認(rèn)證雙方的輸入是十分重要的。確認(rèn)雙方的真實(shí)身份不僅能夠令交易的雙方相互信任，還可以令整個(gè)交易過程變得更加方便和安全。

2.2 交易信息的保密性

在電子交易的過程中，交易雙方需要輸入多種信息，如交易雙方的個(gè)人信息、密碼、郵箱等，這些信息對(duì)于交易雙方都十分重要，因此對(duì)于這些信息必須要進(jìn)行嚴(yán)謹(jǐn)?shù)谋Ｃ芄ぷ?。一旦出現(xiàn)泄露或者被盜取的情況，不僅會(huì)令企業(yè)失去了商機(jī)，甚至?xí)?duì)用戶造成財(cái)產(chǎn)性命安全的威脅。因此，在進(jìn)行電子商務(wù)的交易過程中，必須要確保交易信息的安全性，做好預(yù)防工作，避免信息被非法盜取或者泄露的可能性。

2.3 網(wǎng)絡(luò)漏洞未能夠及時(shí)發(fā)現(xiàn)

網(wǎng)絡(luò)交易的整個(gè)過程中，其安全保證就是網(wǎng)站的安全代碼設(shè)計(jì)。但不少網(wǎng)站開發(fā)和設(shè)計(jì)方對(duì)于網(wǎng)站安全代碼設(shè)計(jì)并不重視，而且對(duì)其了解并不深入。這一缺失導(dǎo)致網(wǎng)站在實(shí)際的運(yùn)營中容易被黑客發(fā)現(xiàn)漏洞，并從漏洞入侵到網(wǎng)站的數(shù)據(jù)庫中。而另一方面，如果開發(fā)方發(fā)現(xiàn)網(wǎng)絡(luò)存在這漏洞，其修補(bǔ)方式也比較片面，只著重于網(wǎng)站的頁面修復(fù)，對(duì)于出現(xiàn)漏洞的主要原因和設(shè)計(jì)不進(jìn)行深入的研究，更不用說對(duì)網(wǎng)站安全源代碼的設(shè)計(jì)進(jìn)行完善或者改造了。

2.4 交易平臺(tái)的可靠性

電子商務(wù)系統(tǒng)實(shí)際上就是計(jì)算機(jī)系統(tǒng)，而所謂的交易平臺(tái)的可靠性是就是防止計(jì)算機(jī)系統(tǒng)在運(yùn)行過程中出現(xiàn)信息失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤等錯(cuò)誤，導(dǎo)致對(duì)交易信息產(chǎn)生潛在的威脅，對(duì)交易平臺(tái)的運(yùn)行工作進(jìn)行嚴(yán)格控制和預(yù)防，確保電子商務(wù)系統(tǒng)運(yùn)行的安全性和可靠性。要確保電子商務(wù)交易平臺(tái)的可靠性，主要的工作內(nèi)容是確保計(jì)算機(jī)系統(tǒng)的安全，在電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)的過程中，確保信息的完整性和保密性。計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到外界的破壞和入侵，而計(jì)算機(jī)網(wǎng)絡(luò)最容易受到入侵的形式是計(jì)算機(jī)病毒。所謂的計(jì)算機(jī)病毒，實(shí)際上就是通過修改其他程序而把自身或其變種不斷自制的程序，還可以通過網(wǎng)絡(luò)、數(shù)據(jù)傳輸?shù)确绞健皞魅尽逼渌?jì)算機(jī)。目前我國遇到較為嚴(yán)重的計(jì)算機(jī)病毒主要有計(jì)算機(jī)蠕蟲、特洛伊木馬、以及邏輯炸彈。這幾種病毒能夠?qū)﹄娮由虅?wù)的交易平臺(tái)產(chǎn)生不同程度的傷害，間接或者直接地傷害到交易雙方的利益。

3 PHP網(wǎng)絡(luò)安全在電子商務(wù)的應(yīng)用

3.1 對(duì)于電子商務(wù)系統(tǒng)的輸出應(yīng)進(jìn)行適當(dāng)?shù)霓D(zhuǎn)義

對(duì)于電子商務(wù)系統(tǒng)的輸出為能夠進(jìn)行適當(dāng)、及時(shí)的轉(zhuǎn)義，也會(huì)對(duì)電子商務(wù)系統(tǒng)帶來一定的安全漏洞，而跨站腳本漏洞就是一個(gè)很常見的案例。假設(shè)某網(wǎng)站能夠?yàn)橛慰吞峁┮粋€(gè)能夠發(fā)表評(píng)論的網(wǎng)絡(luò)系統(tǒng)，并采用表單的形式進(jìn)行數(shù)據(jù)提交。這種網(wǎng)絡(luò)運(yùn)營方式對(duì)于一般的用戶并不會(huì)帶來太大的問題。但是對(duì)于某些不懷好意的黑客來說，這就為他們?nèi)肭衷摼W(wǎng)站帶來了大好機(jī)會(huì)。當(dāng)黑客想要盜取登錄用戶的cookies的時(shí)候，并不需要真的需要在網(wǎng)站中發(fā)表評(píng)論，他們可以把某些特定的Javascript代碼作為評(píng)論內(nèi)容，在該網(wǎng)站中進(jìn)行提交，即可盜取到登錄用戶的cookies。舉個(gè)例子，如果該網(wǎng)站在信息輸出前，沒有對(duì)黑客所提交的評(píng)論內(nèi)容進(jìn)行適當(dāng)，或者任何形式的轉(zhuǎn)義的話，那么這段特定的Javascript代碼就會(huì)被其他登陸用戶的瀏覽器執(zhí)行，而在這個(gè)瀏覽器進(jìn)行評(píng)論的登錄用戶的cookies就能夠直接發(fā)送到http：//cheat.evil.org/hook.php中，而這名黑客黑客只要利用$_GET['cookies']，就可以輕松盜取到該網(wǎng)站登錄用戶的cookies了。這是跨站腳本漏洞一個(gè)較為經(jīng)典，但同時(shí)也是比較常見的網(wǎng)絡(luò)攻擊實(shí)例。為了避免這種網(wǎng)絡(luò)攻擊案例的發(fā)生和出現(xiàn)，該網(wǎng)站只需要在把登錄用戶的評(píng)論內(nèi)容輸出到客戶端瀏覽器之前，利用htmlentities（）函數(shù)對(duì)輸出內(nèi)容進(jìn)行適當(dāng)?shù)霓D(zhuǎn)義。這個(gè)函數(shù)就能夠把網(wǎng)站輸出內(nèi)容中可能包含的html標(biāo)簽轉(zhuǎn)換成html實(shí)體，令黑客輸入的Javascript代碼不能被瀏覽器執(zhí)行。當(dāng)然，在不同情況下，對(duì)于輸出信息的轉(zhuǎn)義方法也會(huì)有所不同，轉(zhuǎn)移的方式并不僅僅是并不局限于htmlentities（）函數(shù)，但需要注意的是，不論是什么網(wǎng)站，任何時(shí)候，都需要對(duì)系統(tǒng)的輸出進(jìn)行適當(dāng)?shù)霓D(zhuǎn)義，這樣才能夠確保黑客不會(huì)有機(jī)可乘。

3.2 PHP加密擴(kuò)展庫

為了確保交易雙方的信息安全，一般都會(huì)對(duì)交易信息進(jìn)行加密工作。而在PHP中，一般會(huì)對(duì)擴(kuò)展庫進(jìn)行加密。這種加密方式不僅能夠?qū)?shù)據(jù)進(jìn)行加密工作，還可以確保在傳輸過程中不被盜取或者泄露出去，為交易雙方都帶來了一定的保障。而常見的加密算法是采用mcrypt算法和mhash算法：

3.2.1 mcrypt。在mcrypt提供的數(shù)據(jù)處理函數(shù)中，較常用的函數(shù)有兩個(gè)，分別是mcrypt_encrypt（）函數(shù)和mcrypt_decrypt（）函數(shù)。前者是對(duì)交易數(shù)據(jù)進(jìn)行加密的函數(shù)，而后在則是常用的對(duì)數(shù)據(jù)進(jìn)行解密的函數(shù)。

3.2.2 mhash。Mhash支持的所有算法的名字都是以MHASH_開頭，而常見的算法有CRC32 HAVAL160 MD6和CRC32B HAVAL192 RIPEMD160等。

在電子商務(wù)系統(tǒng)的運(yùn)行中，網(wǎng)站和信息的安全問題日益成為人們關(guān)注的重點(diǎn)，要避免這些問題的出現(xiàn)，就需要專業(yè)的開發(fā)人員在研究和開發(fā)的過程中，對(duì)于安全問題多加注意，一旦發(fā)現(xiàn)漏洞，必須要對(duì)其進(jìn)行徹底的處理和解決。PHP的網(wǎng)絡(luò)安全技術(shù)只能夠?qū)儆谝环N簡單的安全技術(shù)，避免交易數(shù)據(jù)在傳輸?shù)倪^程中被盜取或泄露，如果想要提高網(wǎng)站運(yùn)行的安全可靠性，更多的還需要配合安全等級(jí)更高的安全服務(wù)器。

參考文獻(xiàn)：

[1]滕萍.云計(jì)算技術(shù)發(fā)展分析及其應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2012（11）：89-91.

[2]傅慧.動(dòng)態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全，2012（12）：12-14.

作者簡介：閆紅梅（1983.05-），本科，理學(xué)學(xué)士，講師，研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。

作者單位：鹽城交通技師學(xué)院，江蘇鹽城 224000