6 html javascript php mysql security
这是关于分类广告网站...我使用PHP和MySql将记录插入数据库.
我有一个HTML表单,用户必须填写此表单才能继续.
下面是表单输入和对每个输入(javascript)的验证:
名称(仅限字母)
电话(仅允许数字)
电子邮件(特殊电子邮件 - 正则表达式匹配)
标题(不允许特殊字符,其他一切都很好.特殊我的意思是!(#)<>等字符.最大长度为35个字符.)
文字(与标题相同,长度没有限制)
价格(仅允许数字)
我mysql_real_escape_string()在标题和文字上做,但没有别的.
我的问题很简单,这还够吗?
我没有其他任何安全措施.
UPDATE
var alphaExp = /^[a-zA-ZåäöÅÄÖ\s\-]+$/;
var numExp = /^(?=(?:\D*\d){0})[\d -]{0,20}$/;
var num_only = /^[0-9]+$/;
var emailExp = /^[\w\-\.\+]+\@[a-zA-Z0-9\.\-]+\.[a-zA-z0-9]{2,4}$/;
var textExp = /^\s*([\wåäö\-\*][^\w]*){3}.*$/gmi;
var headlineExp = /^[\s\da-zA-ZåäöÅÄÖ&()+%\/*$€é:,.'"-]*$/;
用户可以规避在Javascript中实现的所有安全措施,例如通过关闭它,删除侦听器或搞乱代码.不要依赖那里的客户!
我没有其他任何安全措施.
安全性必须分层实施.很多时候,程序员并不理解这一点,因为它超出了他们的范围(大多数都有"如果它编译,运送它"的口头禅).您必须在每个合理的点上实施安全性.您永远不会信任用户输入,特别是如果它看到Wild Wild Web.正则表达式检查,已知注入检查以及服务器和应用程序强化至关重要.
请注意,附加了合理性标准.有时很容易有安全剧院或矫枉过正.由您和其他项目利益相关者决定实施哪些必要的预防措施.时间和材料都有与之相关的成本,所以如果你花费10万美元用于安全实施但只获得80,000美元的回报,那么它就会弄巧成拙.
| 归档时间: |
|
| 查看次数: |
199 次 |
| 最近记录: |