更新時(shí)間:2017-08-31 來源:黑馬程序員PHP培訓(xùn)學(xué)院 瀏覽量:
php中一些安全性防止問題建義。只要我們作好了各類操作就可在基本防止一些朋友利用網(wǎng)站本身的漏洞進(jìn)行網(wǎng)站操作了,很多在php中都有的如XSS用htmlentities()預(yù)防XSS攻擊
4、 驗(yàn)證數(shù)據(jù)來源,避免遠(yuǎn)程表單提交
不要使用$_SERVER['HTTP_REFERER']這個(gè)超級(jí)變量來檢查數(shù)據(jù)的來源地址,一個(gè)很小的菜鳥黑客都會(huì)利用工具來偽造這個(gè)變量的數(shù)據(jù),盡可能利用Md5,或者rand等函數(shù)來產(chǎn)生一個(gè)令牌,驗(yàn)證來源的時(shí)候,驗(yàn)證這個(gè)令牌是否匹配。
5、 保護(hù)會(huì)話數(shù)據(jù),特別是Cookies
Cookie是保存在用戶的計(jì)算機(jī)上的,保存之后任何用戶都有可能出于某種原因更改他,我們必須對(duì)敏感數(shù)據(jù)進(jìn)行加密處理。Md5、sha1都是個(gè)不錯(cuò)的加密方法。
6、 利用htmlentities()預(yù)防XSS攻擊
對(duì)用戶可能輸入腳本語言的地方的數(shù)據(jù)進(jìn)行htmlentities()操,將多數(shù)可以產(chǎn)生程序錯(cuò)誤的用戶輸入進(jìn)行實(shí)體化。記住要遵循第一個(gè)習(xí)慣:在 Web 應(yīng)用程序的名稱、電子郵件地址、電話號(hào)碼和帳單信息的輸入中用白名單中的值驗(yàn)證輸入數(shù)據(jù)。
本文版權(quán)歸黑馬程序員PHP培訓(xùn)學(xué)院所有,歡迎轉(zhuǎn)載,轉(zhuǎn)載請注明作者出處,謝謝!