关于php安全

平时写代码很少注意这一块，查阅资料发现以前有太多不严谨的地方，借此机会整理，加深印象和理解。

关于安全很重要的一点就是不要相信用户给到的数据，鬼知道他会给你什么，他到底是平常用户还是恶意攻击，由于代码的不严谨，有可能用户一次失误的输入，就会造成系统崩溃，甚至更糟糕的结果。

1. sql注入：在进行数据哭操作时，比如插入或者查询的时候，带有";"恶意截断要进行的操作，然后执行drop或select等恶意操纵.

所以操作数据库时对于用户传入的替换内容，要进行过滤和特殊字符处理

2.xss攻击：跨网站脚本攻击

无论用户输入什么，或者是输出什么到客户端，都要用htmlspecialchars函数过滤

3.csrf攻击：跨站请求伪造，也就是说别人盗用了你的身份，进行浏览和数据操作

相信大家都看到过好多登录，或者发布信息提交表单的时候，让输入验证码，其实，这就是一种防止csrf攻击的方式。在验证用户登录的时候，可以采用随机数salt+pass+md5或者hash的形式

4.文件上传：要严格控制要上传的文件类型，防止恶意脚本代替文件上传

5.验证码：我们一般将验证码字符串存于session中与用户输入做对比，无论用户输入的正确与否，

我们都要清理SESSION。