使Web应用程序安全

Question

我想制作一个新的php web应用程序,如果我按照以下方式操作,那么我的网站是否安全？

• 使用addslashes转义用户输入($ _GET && $ _POST)
• 用PDO做好准备好的陈述
• 检查用户输入的正确类型(例如int或string)

Answer 1

安全性不是可以用螺栓固定的东西 - 它是一个不断改进的过程.

• 使用addslashes对你没有帮助 - 你需要逃避输出htmlentities.
• 使用PDO准备好的声明是好的.
• 检查用户输入的类型是不够的 - 您需要更好地检查它.如果您希望电子邮件地址检查,请不要认为如果您有一个字符串就可以了.

还有很多事情要考虑安全性,比如XSS,CSRF ...

如果你能得到"Web应用程序黑客手册:发现和利用安全漏洞"这本书.它充满了有用的建议.

而且,我会再说一遍 - 安全性不是一个特征 - 它是一种衡量标准.没有100%安全的应用程序(或任何实际的).安全性的假设是打破它比它背后的更昂贵 - 如果你的网站正在处理金钱 - 你需要更多的安全 - 如果你正在处理礼品卡 - 你甚至可以在没有做你建议的事情的情况下逃脱(这将是是一个非常糟糕的主意,但仍然).