PHP培訓(xùn)之php中一些安全性防止問(wèn)題建義（下）

php中一些安全性防止問(wèn)題建義。只要我們作好了各類操作就可在基本防止一些朋友利用網(wǎng)站本身的漏洞進(jìn)行網(wǎng)站操作了，很多在php中都有的如XSS用htmlentities()預(yù)防XSS攻擊


4、 驗(yàn)證數(shù)據(jù)來(lái)源，避免遠(yuǎn)程表單提交
不要使用$_SERVER['HTTP_REFERER']這個(gè)超級(jí)變量來(lái)檢查數(shù)據(jù)的來(lái)源地址，一個(gè)很小的菜鳥黑客都會(huì)利用工具來(lái)偽造這個(gè)變量的數(shù)據(jù)，盡可能利用Md5，或者rand等函數(shù)來(lái)產(chǎn)生一個(gè)令牌，驗(yàn)證來(lái)源的時(shí)候，驗(yàn)證這個(gè)令牌是否匹配。

5、 保護(hù)會(huì)話數(shù)據(jù)，特別是Cookies
Cookie是保存在用戶的計(jì)算機(jī)上的，保存之后任何用戶都有可能出于某種原因更改他，我們必須對(duì)敏感數(shù)據(jù)進(jìn)行加密處理。Md5、sha1都是個(gè)不錯(cuò)的加密方法。

6、 利用htmlentities()預(yù)防XSS攻擊
對(duì)用戶可能輸入腳本語(yǔ)言的地方的數(shù)據(jù)進(jìn)行htmlentities()操，將多數(shù)可以產(chǎn)生程序錯(cuò)誤的用戶輸入進(jìn)行實(shí)體化。記住要遵循第一個(gè)習(xí)慣：在 Web 應(yīng)用程序的名稱、電子郵件地址、電話號(hào)碼和帳單信息的輸入中用白名單中的值驗(yàn)證輸入數(shù)據(jù)。