我配置了PHP,以便启用魔术引号并关闭注册全局变量.
我会尽力为我输出的任何来自用户输入的内容调用htmlentities().
我偶尔也会搜索我的数据库,以获取xss附带的常用内容,例如......
<script
我还应该做些什么,以及如何确保我要做的事情总是完成.
所以基本上我想知道我使用Session变量的方式有多安全.
我有一个登录表单,用户输入他的用户名/密码,然后进行参数化,然后查询,如果存在用户名/密码,则从db表返回userID.这对每个用户都是独一无二的.
当我有这个值时,这就是我想知道这种方式是否是在会话变量uID中存储userID的安全方式?无论如何这就是我做的,
Session["uID"] = (int)dt.DefaultView[0]["userID"];
FormsAuthentication.RedirectFromLoginPage(username.Text, false);
Response.Redirect("userPage.aspx", false);
然后页面被重定向到另一个页面,我使用会话变量从数据库中获取用户表.
提前感谢您的反馈
要求在GET和POST参数中进行身份验证,而不仅仅是cookie;
检查HTTP Referer标头;
在维基百科上看到了这篇文章,我想知道如何应用它们
好的...我正在使用Kohana PHP框架,我有确定引用标头的工具,但我究竟要检查引用标头?framework函数只返回引用者的URL
以及如何验证GET和POST参数?反对什么?存储的信息?预期的类型?