1.【技术知识 3】第44条
2.接收用户关键词,直接原生sql搜索的要htmlentities(xxx, ENT_QUOTES);过滤. 防止xss攻击和sql注入
3.关闭options,head等请求方法
4.登录处要防止暴力破解
5.对更新字段的限制,不要用户传什么就更新什么(加密传参可以防止用户随意添加更新字段)
6.限制用户密码不能是弱密码,也就杜绝了测试账号的随意性,免得到时候再改再删
7.普通前后端分离的站点,服务器软件或代码里,不要设置Access-Control-Allow-Origin:*
if (isset($_SERVER['HTTP_REFERER'])) {
if (strpos($_SERVER['HTTP_REFERER'], 'http://10.1.1.206') !== false) {
header("Access-Control-Allow-Origin: http://10.1.1.206");
} else {
echo '拒绝访问';exit;
}
} else {
echo '拒绝访问';exit;
}