保护Web应用程序的基本原则?

时间:2010-08-09 00:44:09

标签: php mysql security web-applications

  

可能重复:
  PHP Session Security

我刚刚完成了网络应用程序(主要代码)的基础编码,并且我已经集成了一个基本的用户系统。这是我的第一个网络应用程序,所以我想知道我应该用什么东西来保护它?我已经了解mysql_real_escape_string()strip_tags()这样的内容,但还有什么?如何通过cookie和会话安全地存储用户名和密码?任何提示,教程等都非常感谢!

2 个答案:

答案 0 :(得分:2)

OWASP针对最常见的漏洞提供了一些非常有用的指南,并提供了有关如何缓解这些漏洞的良好建议。您应该熟悉他们所涵盖的attacksvulnerabilities

阅读这些可能需要一些时间,但并没有太多,而且阅读并不是特别密集。也许你应该首先关注他们的top 10 security risks

答案 1 :(得分:1)

CWE/SANS Top 25 Most Dangerous Software Errors给了我很多帮助。

real_escape_string仅对抗MySql注入。此外,当用户必须输入数字时,例如,从newsid=n这样的网址中读取index.php?newsid=3,请$_GET['newsid'](int)之前添加$_GET['newsid'] }。

一些非常基本的东西;)希望链接有所帮助。