手册
目录
收藏521
分享
阅读50879
更新时间2022-04-15
前言:
PHP安全规则
请参考产品安全检查表。
输入和输出
检查是否做了HTML代码的过滤
可能出现的问题:如果有人输入恶意的HTML代码,会导致窃取cookie, 产生恶意登录表单,和破坏网站
检查变量做数据库操作之前是否做了escape
可能出现的问题:如果一个要写入查询语句的字符串变量包含了某些特殊的字符,比如引号(’ ,”)或者分号(;) 可能造成执行了预期之外的操作。
建议采用的方法:使用mysql_escape_string() 或实现类似功能的函数。
检查输入数值的合法性
可能出现的问题:异常的数值会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB、存入其它的数据库或者导致意料之外的程序操作发生。
举例:
如果程序以用户输入的参数值做为文件名,进行文件操作,恶意输入系统文件名会造成系统损毁。
核实对cookie的使用以及对用户数据的处理
可能出现的问题:不正确的cookie使用可能造成用户数据泄漏
访问控制
对内部使用的产品或者供合作方使用的产品,要考虑增加访问控制
logs
确保用户的保密信息没有记在log中(例如:用户的密码)
确保对关键的用户操作保存了完整的用户访问记录
https
对敏感数据的传输要采用https
相关
视频
RELATED VIDEOS
科技资讯
1
2
3
4
5
6
7
8
9
精选课程
共5课时
17.2万人学习
共49课时
77万人学习
共29课时
61.7万人学习
共25课时
39.3万人学习
共43课时
70.9万人学习
共25课时
61.6万人学习
共22课时
23万人学习
共28课时
33.9万人学习
共89课时
125万人学习
