- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
不久前我开始从事网络开发。我现在知道了一些东西,但我真的很担心可能出现的安全问题。我知道像 preg_replace 这样的简单安全解决方案,但我对此没有信心。
因此,我想请您提供可应用于以下情况的任何类型的“通用”安全标准。正如我提到的,我不是专业人士,所以如果您可以从简单但有用的东西开始,那就太好了。如果可能,您能否提供示例?
我确实看过 php 手册,但我想从其他人那里了解更多信息。
这是我在项目中使用的一些典型的 MySQL/PHP 东西。您能否提出任何改进建议以提高它们的安全性?
$sql = mysql_query("SELECT * FROM stories WHERE showing = 1 ORDER BY cr_date DESC LIMIT 5") or die (mysql_error("There was an error in connection"));
while($row = mysql_fetch_assoc($sql)){
$story_id = $row["id"];
// etc...
}
$username = $_POST['username'];
$sql = mysql_query("INSERT INTO myMembers (username, //etc... )
VALUES('$username' //etc.. ")or die (mysql_error());
$username = $_GET['username'];
//gets username from url like http://myweb.com/profile.php?username=blabla
最佳答案
首先感谢您对网络安全的关心。很多PHP开发者对此一无所知,也懒得去学。他们是将我们的密码和银行账户暴露给黑客的人。成为解决方案的一部分! :-)
<强>1。将 mysql 扩展视为已弃用。
使用 PDO或 mysqli扩展名代替。普通的 mysql 扩展不支持准备好的语句和一些其他功能,例如事务控制。如果他们有可用的 PDO_mysql 或 mysqli,则没有人应该使用 mysql。
<强>2。不要将外部数据插入到 SQL 中。
任何时候您从 $_GET 或 $_POST 获取值时,您都应该认为在任何 SQL 语句、shell_exec() 或您将字符串作为某种代码执行的其他实例中使用它是不安全的。
<强>3。使用准备好的查询参数而不是插值。
这真的很容易。事实上,使用查询参数比将变量插入到 SQL 字符串中更容易。您无需担心转义或长而复杂的字符串连接。
请参阅此处的示例代码:http://us.php.net/manual/en/pdo.prepare.php
<强>4。对于极端情况,请谨慎过滤。
查询参数代替 SQL 表达式中的一个文字值。不是表名,不是列名,不是 SQL 关键字,不是值列表或完整表达式。对于那些,您确实需要使用字符串插值,但请参阅我的演示文稿 SQL Injection Myths and Fallacies有关如何将值“列入白名单”以进行插值的示例。
另请查看 PHP filter扩展,它提供了一种灵活的方式来验证输入或去除无效字符以确保仅使用输入的有效部分。
查看您的示例,SELECT 查询没有从 $_GET 等外部源插入的动态值。所以那个是安全的。
INSERT 查询从请求中获取一个值,该值可能包含改变查询运行方式的恶意内容。这是使用查询参数的一个很好的候选者。
还要考虑到 SQL 注入(inject)是 PHP 的两个最普遍的安全问题之一。另一种是跨站点脚本 (XSS)。这与 SQL 没有直接关系,但您也应该了解它。
这里是学习更多关于网络编程安全的好资源:OWASP.org cheat sheets .
关于php - 如何保护项目免受黑客攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8218491/
我正在使用 NetBeans 开发 Java 中的 WebService,并使用 gradle 作为依赖管理。 我找到了this article关于使用 gradle 开发 Web 项目。它使用 Gr
我正在将旧项目从 ant 迁移到 gradle(以使用其依赖项管理和构建功能),并且在生成 时遇到问题>eclipse 项目。今天的大问题是因为该项目有一些子项目被拆分成 war 和 jar 包部署到
我已经为这个错误苦苦挣扎了很长时间。如果有帮助的话,我会提供一些问题的快照。请指导我该怎么办????在我看来,它看起来一团糟。 *** glibc detected *** /home/shivam/
我在 Ubuntu 12.10 上运行 NetBeans 7.3。我正在学习 Java Web 开发类(class),因此我有一个名为 jsage8 的项目,其中包含我为该类(class)所做的工作。
我想知道 Codeplex、GitHub 等中是否有任何突出的项目是 C# 和 ASP.NET,甚至只是 C# API 与功能测试 (NUnit) 和模拟(RhinoMocks、NMock 等)。 重
我创建了一个 Maven 项目,包装类型为“jar”,名为“Y”我已经完成了“Maven 安装”,并且可以在我的本地存储库中找到它.. 然后,我创建了另一个项目,包装类型为“war”,称为“X”。在这
我一直在关注the instructions用于将 facebook SDK 集成到我的应用程序中。除了“helloFacebookSample”之外,我已经成功地编译并运行了所有给定的示例应用程序。
我想知道,为什么我们(Java 社区)需要 Apache Harmony 项目,而已经有了 OpenJDK 项目。两者不是都是在开源许可下发布的吗? 最佳答案 事实恰恰相反。 Harmony 的成立是
我正在尝试使用 Jsoup HTML Parser 从网站获取缩略图 URL我需要提取所有以 60x60.jpg(或 png)结尾的 URL(所有缩略图 URL 都以此 URL 结尾) 问题是我让它在
我无法构建 gradle 项目,即使我编辑 gradle 属性,我也会收到以下错误: Error:(22, 1) A problem occurred evaluating root project
我有这个代码: var NToDel:NSArray = [] var addInNToDelArray = "Test1 \ Test2" 如何在 NToDel:NSArray 中添加 addInN
如何在单击显示更多(按钮)后将主题列表限制为 5 个(项目)。 还有 3(项目),依此类推到列表末尾,然后它会显示显示更少(按钮)。 例如:在 Udemy 过滤器选项中,当您点击查看更多按钮时,它仅显
如何将现有的 Flutter 项目导入为 gradle 项目? “导入项目”向导要求 Gradle 主路径。 我有 gradle,安装在我的系统中。但是这里需要设置什么(哪条路径)。 这是我正在尝试的
我有一个关于 Bitbucket 的项目。只有源被提交。为了将项目检索到新机器上,我在 IntelliJ 中使用了 Version Control > Checkout from Ve
所以,我想更改我公司的一个项目,以使用一些与 IDE 无关的设置。我在使用 Tomcat 设置 Java 应用程序方面有非常少的经验(我几乎不记得它是如何工作的)。 因此,为了帮助制作独立于 IDE
我有 2 个独立的项目,一个在 Cocos2dx v3.6 中,一个在 Swift 中。我想从 Swift 项目开始游戏。我该怎么做? 我已经将整个 cocos2dx 项目复制到我的 Swift 项目
Cordova 绝对是新手。这些是我完成的步骤: checkout 现有项目 运行cordova build ios 以上生成此构建错误: (node:10242) UnhandledPromiseR
我正在使用 JQuery 隐藏/显示 li。我的要求是,当我点击任何 li 时,它应该显示但隐藏所有其他 li 项目。当我将鼠标悬停在文本上时 'show all list item but don
我想将我所有的java 项目(223 个项目)迁移到gradle 项目。我正在使用由 SpringSource STS 团队开发的 Gradle Eclipse 插件。 目前,我所有的 java 项目
我下载this Eclipse Luna ,对于 Java EE 开发人员,如描述中所见,它支持 Web 应用程序。我找不到 file -> new -> other -> web projects
我是一名优秀的程序员,十分优秀!