-1
到目前爲止,我對所有$ _GET/$ _ POST輸入進行了清理,並且始終在動作請求中調用php文件名,而不是PHP_SELF。但我知道還有更多,並且它遍佈整個網絡。什麼是保護我的PHP應用程序的基本技巧?
我將不勝感激任何有關php安全的基本技巧,並希望這個問題可以作爲任何人尋找開發互聯網應用程序所需的標準安全措施的一站式場所。
A
回答
1
甚至比逃避與mysql_real_escape_string每個用戶輸入的方法是使用準備好的語句。
你可以閱讀一下:http://php.net/manual/en/pdo.prepared-statements.php
預處理語句你是快速,安全。快速,因爲他們準備一次並執行很多次。安全,因爲它們對SQL注入攻擊非常免疫。
另一種類型的攻擊是跨站點請求僞造攻擊。許多PHP框架已經爲這類問題做好了準備,並以某種方式解決它。如果你使用的是框架,你應該檢查它是否提供了csrf防禦。如果你在沒有框架的情況下工作,你應該開始閱讀這種攻擊。
最後但並非最不重要的是,存在XSS類型的攻擊(跨站點腳本)。它與javasript中用戶輸入的不當轉義有關。攻擊者可以竊取用戶的一些重要數據。所以你也應該防止這種攻擊。看這裏:http://phpmaster.com/php-security-cross-site-scripting-attacks-xss/
這些是基本的攻擊類型。如果你可以阻止他們,那麼你可以更安全地保證網頁的80%。
+0
謝謝你的謙卑回答,sebast。 – Silvius 2013-02-11 20:44:28
1
如果腳本正在與數據庫服務器交互,則發送到此服務器的所有查詢都必須進行轉義以避免sql injections。如果不採取這種安全措施,可以完成大量的破壞,但幸運的是,由於函數已經存在於php中,因此逃脫字符串非常簡單。 對於MySQL數據庫是mysql_real_escape_string(string $unescaped_string [, resource $link_identifier ])
這裏是如何工作的例子:
腳本:index.php的用戶= 「;? TRUNCATE TABLE用戶; SELECT * FROM用戶WHERE USER ='
$user = mysql_real_escape_string($_GET['user']);
mysql_query("SELECT * FROM users WHERE user = '$user'"); //The table users won't be truncated
相關問題
- 1. 什麼是基本程序,如遞歸,斐波納契,小技巧程序?
- 2. 保護我的PHP應用程序
- 3. 這個技巧是什麼?
- 4. 什麼是「過度技巧」?
- 5. Scalla中的基本元編程技巧
- 6. 什麼是一些記錄你的應用程序的好技巧?
- 7. 基於Asana Iphone應用程序的技術是什麼?
- 8. 什麼CAS保護ASP.NET應用程序?
- 9. 什麼是提高Asp.Net應用程序性能的最佳技巧?
- 10. 什麼是Git的分支技巧?
- 11. 基本C++習語/技巧
- 12. 保護Flex-BlazeDS應用程序的最佳方式是什麼?
- 13. 向Windows Phone開放PHP應用程序的技巧 - SOAP/REST
- 14. ASP.Net/Web編程的基本技巧和竅門以及程序員犯的常見錯誤是什麼?
- 15. MVC應用程序設計技巧
- 16. Web應用程序測試技巧
- 17. 卡技巧程序
- 18. Java程序技巧
- 19. Cortana:創建啓動本地應用程序的技巧
- 20. 最小化Flex應用程序大小的一般技巧和技巧
- 21. 保護我的小應用程序
- 22. 保護我的應用程序
- 23. 什麼是一些jSoup優化技巧?
- 24. 什麼是凸面船體技巧?
- 25. 什麼是Objective-c調試技巧?
- 26. CSS技巧* + html做什麼?
- 27. 在Android應用程序中命名包有什麼合適的技巧?
- 28. 可以做什麼技巧讓你的iPad應用程序閃電般快速?
- 29. 爲什麼Tomcat的基本網址不是我的應用程序網址,而針對我的應用程序?
- 30. 什麼是移動應用程序的最佳遠程技術?
您應該瞭解您的Web應用程序可能容易受到哪種攻擊。然後學習如何阻止您的應用程序易受攻擊(針對特定的攻擊)。 – 2013-02-09 22:54:43
是的,你總是保護你的城市免受威脅,並且你必須知道navnav的威脅 – 2013-02-09 22:55:21
,隨時在答案中詳細闡述。你似乎知道我在找什麼。 – Silvius 2013-02-09 23:06:58