使用php安全模式
服務器要做好管理,賬號權限是否合理。
假定所有用戶的輸入都是“惡意”的,防止XSS攻擊,譬如:對用戶的輸入輸出做好必要的過濾
防止CSRF,表單設置隱藏域,post壹個隨機字符串到後臺,可以有效防止跨站請求偽造。
文件上傳,檢查是否做好效驗,要註意上傳文件存儲目錄權限。
防禦SQL註入。?
避免SQL註入漏洞1.使用預編譯語句
2.使用安全的存儲過程
3.檢查輸入數據的數據類型
4.從數據庫自身的角度考慮,應該使用最小權限原則,不可使用root或dbowner的身份連接數據庫。若多個應用使用同壹個數據庫,也應該為數據庫分配不同的賬戶。web應用使用的數據庫賬戶,不應該有創建自定義函數,操作本地文件的權限。
避免XSS跨站腳本攻擊1.假定所有用戶輸入都是“邪惡”的
2.考慮周全的正則表達式
3.為cookie設置HttpOnly,防止cookie劫持
4.外部js不壹定可靠
5.出去不必要的HTML註釋
6. 針對非法的HTML代碼包括單雙引號等,使用htmlspecialchars()函數。?