可能重复:
PHP Session Security
我刚刚完成了网络应用程序(主要代码)的基础编码,并且我已经集成了一个基本的用户系统。这是我的第一个网络应用程序,所以我想知道我应该用什么东西来保护它?我已经了解mysql_real_escape_string()
和strip_tags()
这样的内容,但还有什么?如何通过cookie和会话安全地存储用户名和密码?任何提示,教程等都非常感谢!
答案 0 :(得分:2)
OWASP针对最常见的漏洞提供了一些非常有用的指南,并提供了有关如何缓解这些漏洞的良好建议。您应该熟悉他们所涵盖的attacks和vulnerabilities。
阅读这些可能需要一些时间,但并没有太多,而且阅读并不是特别密集。也许你应该首先关注他们的top 10 security risks。
答案 1 :(得分:1)
CWE/SANS Top 25 Most Dangerous Software Errors给了我很多帮助。
real_escape_string
仅对抗MySql注入。此外,当用户必须输入数字时,例如,从newsid=n
这样的网址中读取index.php?newsid=3
,请$_GET['newsid']
在(int)
之前添加$_GET['newsid']
}。
一些非常基本的东西;)希望链接有所帮助。