Red de conocimiento informático - Material del sitio web - ¿Cómo maximizar la seguridad de PHP? Cómo evitar vulnerabilidades de inyección SQL y vulnerabilidades de secuencias de comandos entre sitios XSS

¿Cómo maximizar la seguridad de PHP? Cómo evitar vulnerabilidades de inyección SQL y vulnerabilidades de secuencias de comandos entre sitios XSS

Usa el modo seguro de PHP

El servidor debe estar bien administrado y los permisos de la cuenta deben ser razonables.

Suponiendo que toda la entrada del usuario es "maliciosa", es necesario evitar ataques XSS, como por ejemplo: realizar el filtrado necesario en la entrada y salida del usuario.

Para evitar CSRF, establezca una entrada oculta formulario en el dominio del formulario, publicar una cadena aleatoria en segundo plano puede prevenir eficazmente la falsificación de solicitudes entre sitios.

Cargue archivos, verifique si la verificación es correcta y preste atención a los permisos del directorio de almacenamiento de archivos cargados.

Evitar la inyección SQL.

Evite las vulnerabilidades de inyección SQL

1. Utilice declaraciones preparadas

2. Utilice procedimientos almacenados seguros

3. p>

4. Desde la perspectiva de la base de datos en sí, se debe utilizar el principio de privilegio mínimo y no se deben utilizar identidades de root o dbowner para conectarse a la base de datos. Si varias aplicaciones utilizan la misma base de datos, se deben asignar cuentas diferentes a la base de datos. La cuenta de base de datos utilizada por la aplicación web no debe tener permisos para crear funciones personalizadas y manipular archivos locales. Evite ataques de secuencias de comandos entre sitios XSS

1. Suponga que todas las entradas del usuario son "malvadas"

2. Considere las expresiones regulares

3. La configuración de cookies HttpOnly puede evitarlo. secuestro de cookies

4. El JS externo no siempre es confiable

5. Debe ser confiable

5. Eliminar comentarios HTML innecesarios

6. Evite el uso de códigos HTML ilegales, incluidas comillas simples y dobles

7. Para códigos HTML ilegales que incluyan comillas simples y dobles, utilice la función htmlspecialchars().