我正在完成我的第一个“真正的”PHP应用程序,我正在努力确保它是安全的.我有点害怕,因为我不是一个“专家”PHP程序员,我可能会遗漏一些巨大的东西,所以我想给你一些关于我的应用程序的信息,希望你能告诉我这是不是案件.所以我们走了:
>我正在使用CMS来处理用户身份验证,所以我没有必要
担心这一点.
>在开始工作后不久发现PDO
在我的应用程序中,我将所有代码移植到使用准备好的
PDO的陈述.
>我正在逃避使用htmlentities()输出的所有表单和数据库数据(即使是我认为安全的东西).
>我的应用程序确实使用了会话变量和cookie变量,但两者的功能都非常不重要.
>我已经设计了我的表单处理功能,无论表单是以某种方式被改变,还是从服务器外提交都没关系(即我总是检查提交的数据以确保它有效).
>我已尽力使所有错误消息和异常消息礼貌但非常模糊.
>我强制通过https提供包含敏感信息的页面(例如登录页面).
当我第一次开始编写我的应用程序时,我不知道准备好的语句,这是一个很大的问题.我错过了什么吗?
解决方法:
Owasp维护着Top 10 Most Critical Web Application Security Risks的清单(警告,PDF下载).这是从2010年开始,但我认为它仍然适用,现在可能更多.
注入和XSS是前两个,但你当然应该知道其他的8.如果你使用现有的CMS,其中许多可能已经被考虑过了,但CMS越受欢迎,你就越有可能因为漏洞而陷入漏洞黑帽子试图找到它的洞.
如果您没有存储信用卡,订单历史记录,地址甚至电子邮件等关键数据,那么只要您采取基本的预防措施,我就不会过分担心您的网站受到影响(听起来就像是).
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
