如何让自己写的PHP代码更加安全呢,各位有什么看法我一般做的也就几步:
一个就是确保所有文件上传的功能,都不用,或者检查好上传文件的扩展名。第二个就是在程序里面不要使用 eval 函数第三就是所有的GET 和POST数据都用 数据库和HTML过滤函数,过滤一下。这几点做到,是不是就可以保证代码的绝对安全,不会留下被黑的漏洞吧。我只是说的写代码方面的,别的服务器方面的,先不讨论
一个就是确保所有文件上传的功能,都不用,或者检查好上传文件的扩展名。第二个就是在程序里面不要使用 eval 函数第三就是所有的GET 和POST数据都用 数据库和HTML过滤函数,过滤一下。这几点做到,是不是就可以保证代码的绝对安全,不会留下被黑的漏洞吧。我只是说的写代码方面的,别的服务器方面的,先不讨论
1.sql注入
2.XSS
3.CSRF
基本上你上面说的都包含在这里面(eval函数会在阿里的安骑士上报木马,html过滤特殊符号现在框架都有,get post 这类的sql注入你可以试一试,基本上主流框架都做不到sql注入,你可以下载sqlmap试一试)
如果你感兴趣的话可以多了解一下web攻防
不过在现在各种框架流行的时代 web攻防的漏洞也越来越少了 比较主流的框架基本上都会检测这些漏洞
php也推出了一系列的安全函数你也可以学习一下
当然100%安全也不是一定的,偶尔也能暴出一些0day 不过会很快修复
所以代码方面的不用考虑这么多,相反服务器的漏洞才是重点
3.CSRF这两个没听说过,不知道怎么弄的