我正在完成我的第一个“真正的”PHP应用程序,我正在努力确保它是安全的.我有点害怕,因为我不是一个“专家”PHP程序员,我可能会遗漏一些巨大的东西,所以我想给你一些关于我的应用程序的信息,希望你能告诉我这是不是案件.所以我们走了:
>我正在使用CMS来处理用户身份验证,所以我没有必要
担心这一点.
>在开始工作后不久发现PDO
在我的应用程序中,我将所有代码移植到使用准备好的
PDO的陈述.
>我正在逃避使用htmlentities()输出的所有表单和数据库数据(即使是我认为安全的东西).
>我的应用程序确实使用了会话变量和cookie变量,但两者的功能都非常不重要.
>我已经设计了我的表单处理功能,无论表单是以某种方式被改变,还是从服务器外提交都没关系(即我总是检查提交的数据以确保它有效).
>我已尽力使所有错误消息和异常消息礼貌但非常模糊.
>我强制通过https提供包含敏感信息的页面(例如登录页面).
当我第一次开始编写我的应用程序时,我不知道准备好的语句,这是一个很大的问题.我错过了什么吗?
解决方法:
注入和XSS是前两个,但你当然应该知道其他的8.如果你使用现有的CMS,其中许多可能已经被考虑过了,但CMS越受欢迎,你就越有可能因为漏洞而陷入漏洞黑帽子试图找到它的洞.
如果您没有存储信用卡,订单历史记录,地址甚至电子邮件等关键数据,那么只要您采取基本的预防措施,我就不会过分担心您的网站受到影响(听起来就像是).
标签:php,mysql,security,sql-injection,xss
来源: https://codeday.me/bug/20190715/1469113.html
扫一扫
372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
