PHP用户提交的数据

PHP程序的安全性问题主要是由于编程者的安全意识不高所导致的，而不是PHP语言本身的问题。因此，在编写代码时需要特别注意每段代码可能存在的问题，并及时发现和解决非正确数据提交可能造成的影响。

一、危险变量

下面是一些示例中可能存在的危险变量用法：

<?php
// 从用户目录中删除一个文件，或者……能删除更多的东西？
unlink($evil_var);
// 记录用户的登录，或者……能否在 /etc/passwd 添加数据？
fwrite($fp, $evil_var);
// 执行一些普通的命令，或者……可以执行 rm -rf * ？
system($evil_var);
exec($evil_var);
?>

二、常见问题

为了增加程序的安全性，我们应该经常检查代码，确保每个来自客户端的变量都经过适当的检查。在处理变量时，应该问自己以下几个问题：

1、此代码是否只会影响预期的文件？

2、 非正常的数据提交后是否会产生影响？

3、此代码是否可以被用于计划外的用途？

4、此代码是否可以与其他代码结合起来进行恶意操作？

5、是否对所有事务都进行了充分记录？

在编写代码时，应该对这些问题有所认识，并采取相应的措施来提高安全性。另外，还可以考虑关闭`register_globals`、`magic_quotes`或其他可能导致变量合法性、来源和值混乱的设置。使用`error_reporting(E_ALL)`模式可以帮助检查变量在使用之前是否经过了检查或初始化，从而防止非正常数据的混乱。

总之，注意上述问题，并采取相应的安全措施，可以提高程序的安全性。然而，这并不能完全保证系统的安全，所以在使用PHP开发时，仍然需要定期审查和更新代码，以应对不断演化的安全威胁。