Cookie注入防护方法
- 使用转义函数对
$_COOKIE['']
进行转义 - 使用MYSQLi参数化查询
Cookie欺骗攻击
- 设置特殊键值对
- 检查user-agent的一致性
HTTP头部注入防护方法
- 使用PHP转义函数对
$_SERVER['']
进行转义 - MYSQLi参数化
Cookie和HTTP头部都是针对本地方法的
SESSION注入防护
- 给Session设置生存时间
- 检测user-agent的一致性(但是user-agent可以改)
- 定期重置SessionID
$_COOKIE['']
进行转义$_SERVER['']
进行转义Cookie和HTTP头部都是针对本地方法的