gpt4 book ai didi

php - 安全和PHP

转载 作者:搜寻专家 更新时间:2023-10-30 22:20:18 25 4
gpt4 key购买 nike

所以我有一个网站,如果用户输入,它将生成/home/content/s/a/m/p/l/e/users/profile/index.php。我真正的问题是,这安全吗?这是我尝试清理用户输入的方法,如果有更多信息,请告诉我。

strip_tags(html_entity_decode($mysqli->real_escape_string($title)), ALLOWED_TAGS);
ALLOWED_TAGS = "<br><p><b><i><hr>";

由于我是这个网站开发的新手,我想知道这是否是一个好方法,因为它减轻了使用数据库一遍又一遍地获取相同信息的压力,而只是有一个静态页面关于它的信息,或者这是一个巨大的安全漏洞?我不知道! :) 我不知道他们是否可以用我在这里设置的进行某种 XSS 攻击。请帮忙!



迈克尔

附言如果您有任何答案或建议,请告诉我一些原因。我拥有计算机科学学位,所以我很好奇它是如何工作的,而不仅仅是快速而肮脏的解决方案。谢谢。

最佳答案

这是我为我公司的内部知识库编制的 PHP 安全 list 。可能会有帮助。

  • 不要使用已弃用的功能和做法
  • 始终验证用户输入
  • 在 SQL 查询中使用变量值时使用占位符。
  • 始终对 SQL 查询中使用的变量进行转义。
  • 设置适当的目录权限
  • 总是在用户每次登录时重新生成 session ID。 (避免session id劫持)
  • 切勿以明文形式存储密码。仅存储它们的哈希值。
  • 在网页中输出用户输入时,始终检查 html 特殊字符。 (类似的 HTML 标签可能被用于 XSS 攻击)
  • 在迁移之前了解部署服务器的规范
  • 保护保存日志条目的目录。
  • 将 register_globals 设置为关闭
  • PHP 安全模式很有用,但自 5.3 版起已弃用
  • 如果没有在代码中使用,使用 php.ini 中的 disable_functions 设置禁用函数 system 和 exec
  • 在生产/实时服务器中将 display_errors 设置为关闭。
  • 验证 Cookie 数据

关于php - 安全和PHP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4948183/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com