使用php安全模式伺服器要做好管理,賬號許可權是否合理。假定所有使用者的輸入都是“惡意”的,防止XSS攻擊,譬如:對使用者的輸入輸出做好必要的過濾防止CSRF,表單設定隱藏域,post一個隨機字串到後臺,可以有效防止跨站請求偽造。檔案上傳,檢查是否做好效驗,要注意上傳檔案儲存目錄許可權。防禦SQL注入。 避免SQL注入漏洞1.使用預編譯語句2.使用安全的儲存過程3.檢查輸入資料的資料型別4.從資料庫自身的角度考慮,應該使用最小許可權原則,不可使用root或dbowner的身份連線資料庫。若多個應用使用同一個資料庫,也應該為資料庫分配不同的賬戶。web應用使用的資料庫賬戶,不應該有建立自定義函式,操作本地檔案的許可權。避免XSS跨站指令碼攻擊1.假定所有使用者輸入都是“邪惡”的2.考慮周全的正則表示式3.為cookie設定HttpOnly,防止cookie劫持4.外部js不一定可靠5.出去不必要的HTML註釋6.針對非法的HTML程式碼包括單雙引號等,使用htmlspecialchars()函式。
使用php安全模式伺服器要做好管理,賬號許可權是否合理。假定所有使用者的輸入都是“惡意”的,防止XSS攻擊,譬如:對使用者的輸入輸出做好必要的過濾防止CSRF,表單設定隱藏域,post一個隨機字串到後臺,可以有效防止跨站請求偽造。檔案上傳,檢查是否做好效驗,要注意上傳檔案儲存目錄許可權。防禦SQL注入。 避免SQL注入漏洞1.使用預編譯語句2.使用安全的儲存過程3.檢查輸入資料的資料型別4.從資料庫自身的角度考慮,應該使用最小許可權原則,不可使用root或dbowner的身份連線資料庫。若多個應用使用同一個資料庫,也應該為資料庫分配不同的賬戶。web應用使用的資料庫賬戶,不應該有建立自定義函式,操作本地檔案的許可權。避免XSS跨站指令碼攻擊1.假定所有使用者輸入都是“邪惡”的2.考慮周全的正則表示式3.為cookie設定HttpOnly,防止cookie劫持4.外部js不一定可靠5.出去不必要的HTML註釋6.針對非法的HTML程式碼包括單雙引號等,使用htmlspecialchars()函式。