关于php安全
来源:互联网 发布:迷宫寻路算法 编辑:程序博客网 时间:2024/05/16 08:43
平时写代码很少注意这一块,查阅资料发现以前有太多不严谨的地方,借此机会整理,加深印象和理解。
关于安全很重要的一点就是不要相信用户给到的数据,鬼知道他会给你什么,他到底是平常用户还是恶意攻击,由于代码的不严谨,有可能用户一次失误的输入,就会造成系统崩溃,甚至更糟糕的结果。
1. sql注入:在进行数据哭操作时,比如插入或者查询的时候,带有";"恶意截断要进行的操作,然后执行drop或select等恶意操纵.
所以操作数据库时对于用户传入的替换内容,要进行过滤和特殊字符处理
2.xss攻击:跨网站脚本攻击
无论用户输入什么,或者是输出什么到客户端,都要用htmlspecialchars函数过滤
3.csrf攻击:跨站请求伪造,也就是说别人盗用了你的身份,进行浏览和数据操作
相信大家都看到过好多登录,或者发布信息提交表单的时候,让输入验证码,其实,这就是一种防止csrf攻击的方式。在验证用户登录的时候,可以采用随机数salt+pass+md5或者hash的形式
4.文件上传:要严格控制要上传的文件类型,防止恶意脚本代替文件上传
5.验证码:我们一般将验证码字符串存于session中与用户输入做对比,无论用户输入的正确与否,
我们都要清理SESSION。
0 0
- 关于php的安全
- 关于PHP代码安全
- 关于php安全
- 关于php安全的几个问题
- php open_basedir设置以及关于安全
- php open_basedir设置以及关于安全
- 几本关于PHP安全的书
- 关于php线程安全的一些东西
- 关于PHP线程安全和非线程安全的区别
- 关于PHP线程安全和非线程安全的区别
- 关于PHP的几个版本和线程安全的讨论
- PHP安全编程之关于表单欺骗提交
- php eval函数的使用和关于安全的问题
- php安全
- PHP安全
- php安全
- PHP-安全
- php 安全
- 终端用sublime打开文件的方法
- 微信6.53抢红包
- Ubuntu 16.04操作系统中搭建GitLab服务器的操作记录
- JAVA进阶学习-多线程基础详解(一)
- Java 系统属性和环境变量的获取
- 关于php安全
- Redis和nosql简介,api调用;Redis数据功能(String类型的数据处理);List数据结构(及Java调用处理);Hash数据结构;Set数据结构功能;sortedSet(有序集合)数
- js判断移动端与pc端
- 普通Queue与PriorityQueue的区别
- HHU2017(一)数论
- Java代码动态设置SoftInputMode,友好进行底部界面呈现
- Rails文件结构
- [Leetcode] 59. Spiral Matrix II 解题报告
- angular 函数表达式执行两次的问题