那些遇到过的问题

除了XSS和Sql注入,我可以保护我的网站的方法吗?

goo*_*ing 5 php mysql security xss sql-injection


因此,我的网站成员可以发布主题,回复,评论,编辑它们等.我总是使用htmlspecialcharsaddslashes输入html来保护我的网站免受XSS和SQL注入攻击.这还不够,还是有什么我想念的?
谢谢.

roo*_*ook 8

Web应用程序可能出现很多问题.除了XSS和SQLi之外,还有:

  1. CSRF - 跨站请求伪造
  2. LFI/RFI -本地文件包含/远程文件包含由include(),require()...
  3. CRLF注入 mail()
  4. 全局变量命名空间Poising常见原因register_globals,extract(),import_request_variables()
  5. 目录遍历:fopen(),file_get_contents(),file_put_conents()
  6. 使用eval()preg_replace()使用远程执行代码/e
  7. 远程执行代码passthru(),exec(),system()和``

关于破碎身份验证和会话管理存在一系列漏洞,这是每个Web应用程序员必须阅读的OWASP Top 10的一部分.

"研究在血色"是一篇很好的黑皮书,它涵盖了我列出的许多漏洞.

但是,在Wordpress中也有像这样的奇怪漏洞.什么是漏洞的最终权威是CWE系统,它对HUNDREDS的漏洞进行分类,其中许多漏洞可能会影响Web应用程序.

The*_*ian 6

您应该使用准备语句(请参阅PDO)来防止SQL注入.输出内容时,htmlspecialchars()似乎足以阻止XSS.

另请查看这些链接,了解更多保护网站的方法:

http://phpsec.org/projects/guide/

http://cwe.mitre.org/top25/#Listing

http://www.owasp.org/index.php/Top_10_2010-Main

归档时间:

查看次数:

1778 次

最近记录:

13 年,5 月 前
htmlspecialchars和mysql_real_escape_string能保证我的PHP代码免于注入吗? 115
到HTMLENCODE或不在Web窗体上的HTMLENCODE用户输入(asp.net vb) 0
更多相关链接
相关归档
如何为Laravel/Eloquent模型设置默认属性值? 46
关闭语句后mysqli + xdebug断点导致许多警告 23
ORDER BY random()和SQLITE中的种子 20
JDBC MySQL UTF-8字符串写入问题 16
skip-lock-tables和mysqldump 15
Laravel Eloquent 查找日期在 JSON 列范围内的所有记录 11
限制(沙盒)node.js 文件访问 8
php应用程序的预构建登录/身份验证组件? 5
从python中的字符串安全地删除所有html代码 5
防止 Symfony 中的 XSS 5
难疑归档
如何将新的本地分支推送到远程Git存储库并跟踪它? 4154
夏令时和时区最佳实践 2021
如何使用java.net.URLConnection来触发和处理HTTP请求 1903
Python join:为什么是string.join(list)而不是list.join(string)? 1669
在不应用它的情况下查看存储中的内容 1650
如何递归计算目录中的所有代码行? 1536
将存储过程的结果插入临时表 1526
丢弃Git中的本地提交 1304
检查jQuery中是否存在元素 1209
shell脚本中的YYYY-MM-DD格式日期 1045