PHP代码安全性？

Question

如果有人可以建议PHP编码的安全技术？如何制作你的 php代码更安全吗？

由于

Answer 1

永远不要信任用户，并且每个项目都有明确定义的数据流，用户的输入会尽快消毒（最好在任何输出机会之前）

始终使用某种形式的PDO。 （换句话说，永远不会使用原始SQL）。当试图快速修复错误时，错误有一种习惯。

永远不要在包含中使用变量。它似乎是一个简单的解决方案，但它通常是一个混乱的，允许用户请求他们不应该的文件。

[Salt]（http://en.wikipedia.org/wiki/Salt_(cryptography))所有使用唯一盐的密码然后哈希，md5（）不是理想的功能，因为它有弱点。

Answer 2

这是一个很好的问题，它已被回答了几次..

Where to begin

Books and Resources

More resources

Answer 3

请遵循以下要点：

• 来自客户端的所有数据都可以修改，输入应该在你做任何事情之前进行清理/检查（插入数据库等）
• 任何与安全相关的算法都应该在服务器端实现，这样可以确保算法按照您希望的方式执行（与可修改的JavaScript相似）
• 密码散列或任何其他形式的加密或散列应该在您的脚本中完成，而不是通过其他客户端/服务器请求（IE：在将它们发送到mysql之前创建密码哈希 DONT 执行'INSERT INTO用户VALUES（'1'，'jblow'，md5（'password'））'，因为此查询可在日志和SQL服务器的管理员中查看
• 最后但并非最不重要的，不要懒得如果需要更长的时间来消毒输入，那就完成了，所需要的只是一个漏洞而且你的应用程序无论多么令人惊奇都会松动很多其用户群。