1. PHP入侵检测系统
PHP IDS(即PHP-入侵检测系统)是一套易于使用、结构良好、速度出色且专门面向PHP类Web应用程序的先进安全层。这套入侵检测系统既不提供任何缓和及杀毒机制,也不会对恶意输入内容进行过滤,其作用单纯为识别出攻击者们针对站点进行的恶意活动、并以大家需要的方式作出及时提醒。凭借着一整套经过实践检验及相当严格的过滤规则,该检测系统会针对任何攻击活动给出一个影响评级数值,从而帮助用户更轻松地了解应如何应对当前出现的黑客攻击。具体应对方式多种多样,包括简单将日志纪录通过紧急邮件发送给开发团队、显示关于攻击者的警告消息甚至立即中止用户的当前会话。
2. PHP Password Lib
PHP-PasswordLib旨在构建起一套包罗万象的密码库,将所有加密需求的应对手段囊括于其中。它易于安装且易于使用,具备可扩展能力、极为强大,完全能够满足经验最为老到的开发人员的挑剔眼光。
3. PHPSecLib
phpseclib的设计目标在于实现极强的兼容效果。其运行在PHP4+(若使用PHP_Compat则要求PHP4)基础之上,且无需任何其它扩展。对于重视速度表现的用户而言,也可以配合使用mcrypt、gmp以及bcmath(按顺序),但三者并非必需。
4.TCrypto
TCrypto是一套简单且极具灵活性的PHP 5.3+内存内键-值存储库。在默认情况下,其利用cookie作为存储后端。TCrypto在构建之初就将安全性充分考虑在其中。安全算法与模式一应俱全、自动化与安全初始化向量生成能力兼备、加密与认证密钥创建(Keytoll)拥有极强的随机特性、并有密钥转换(即版本化密钥)作为辅助。TCrypto能够作为一套可扩展性“会话处理程序”使用。特别是在利用cookie作为存储后端时,其可扩展能力将更为突出。从这方面出发,TCrypto与Ruby on Rails会话颇有几分相似。
5. HTML Purifier
HTML Purifier是一套利用PHP语言编写的标准化HTML过滤库。HTML Purifier不仅能够将通过一套经过全面审计的安全许可白名单清除全部恶意代码(俗称XSS),还能够确保用户的文件符合标准要求——有了它的帮助,满足W3C规范将不再是难题。
6. URLcrypt
URLcrypt能够轻松安全地将简短二进制数据片段传送至URL当中。利用它,我们能够以安全方式保存用户ID、下载到期日期以及其它一些常见信息。URLcrypt采用256位AES对称加密机制以实现数据安全加密,其编码与解码库包含32个字符,且能够被直接应用在URL当中。
7. Hybrid Auth
Hybrid Auth是一套开源PHP库,用于对多种社交服务及ID供应方进行验证。这其支持的服务类型包括OpenID、Facebook、领英、谷歌、Twitter、Windows Live、Foursquare、Vimeo、雅虎以及PayPal等等。用户可以通过向登录/登入页面插入单一文件或者几行代码的方式轻松将其与现有网站相整合。
8. 安全检查 – Sensiolabs
这款工具对于新手以及经验老到的PHP编程人员都极具实际意义。它的运作原理非常简单,用户只需要将自己的.lock文件进行上传,其它的工作就可全部交给Sensiolabs来完成。如果大家认真查看数据统计,就会意识到由其发现的漏洞数量有多么庞大。我们很可能在不知不觉间让自己的项目输出大量恶意内容,而Sensiolabs的出现则足以帮助我们以更为积极的方式防患于未然。
9. PHP Login Project
PHP Login Project是一套脚本,旨在将验证机制加入到我们的PHP项目当中。网络上存在大量相关教程,能够引导大家将其安装在不同配置类型的服务器之上,同时提供该脚本的最小化以及单一文件版本。
10. SecurityMultiTool
这套MultiTool库能够为大家推荐适合的安全相关库、标准化安全防御实现以及常见任务安全执行实现方案。这套库的创建目标在于既提供一款实用笥工具,又能够作为目标实现的参考性资料。无论大家的应用程序是否基于Web应用框架,我们都应该将SecurityMultiTool纳入其中——毕竟单靠Web应用程序架构还远远无法实现安全保障。