1.关闭全局变量的注册(register_globals),关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。
2.web服务器方面,不要以root身份运行web程序,关闭目录浏览,确保web目录之外没有提供服务。
3.对于任何可能被污染的数据都要进行过滤(相关过滤函数 htmlspecialchars,strip_tags,mysql_real_escape_string .),被污染数据是指所有不能保证合法的数据,例如用户提交的表单,从邮件服务器接收的邮件,及其它web应用中发送过来的xml文档。
4.防止语义url攻击,对一些敏感信息的输出或者操作要对用户进行验证,最好重新让用户输入验证一次密码。
5.对上传的文件进行检查,包括文件名,大小,以及文件是否为上传的文件,在php.ini中配置最大上传限制,且拒绝不合法的文件名。
6.对于由用户输入且要输出到客户端的数据进行转义(htmlentities),以防止跨站的脚本攻击。
7.对于网站的配置文件以及需要包含引用但并不需要直接访问的脚本不要放在网站根目录下,只要保证Web服务器对其有读取权限即可。
8.对于sql语句中的字符串变量进行转义,密码不能使用明文存入数据库,加密的时候不要简单的md5,最好加一串自定义的随机字符串。
9.对于敏感信息不要保存在cookie中,比如用户的密码。对于用户长时间登陆验证的cookie可以使用不易猜测与发现的第二身份标识,保存到数据库中,并且在重新验证过后更新这个标识。
10.防止出现后门URL(后门URL指本该通过验证才能正常访问的url却跳过验证机制直接能访问得到。)可以使用单一入口,除了静态文件所有的请求均通过这个脚本文件处理。
11.include和require语句 的路径参数中最好不要出现由外部传入的变量或者包含外部资源,否则一定要在include和require语句前对数据进行过滤。类似的文件系统的函数也如此,永远不要用被污染的数据去指向一个文件名,要坚持过滤输入。
12.避免在脚本中使用系统命令函数,如果要用,避免使用输入的数据来构造命令,如果非要使用输入参数就一定要过滤和转义数据。
13.设定合理的流程防止暴力猜解密码,比如验证码,输错密码后间隔一段时间才能登陆等等。
1634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
