在所有方面保护php网站（以及一般网站）

Question

我不知道在这里发布是否正确。

有人可以为这个主题提供一些初学者资源。

提前致谢。

Answer 1

当我开始使用PHP时，我发现添加字节'Writing Secure PHP是一个很好的指南。

Answer 2

我不确定这是否与其中一个问题完全重复，但您可以在SO本身开始阅读：

• https://stackoverflow.com/questions/2081243/which-are-the-common-security-issues-that-the-beginners-make-in-php
• https://stackoverflow.com/questions/2119083/php-tutorial-that-is-security-accuracy-and-maintainability-conscious
• Securing PHP forms for beginners? Resources?
• Examples of vulnerable PHP code?

Answer 3

除了已发布的资源外，还需要注意以下几点：

• 永远不要相信来自客户端的任何数据，您必须认为它可能是恶意的
• 保持打印的错误消息通用，它们可以帮助攻击者对您的代码进行反向工程
• 通过.htaccess文件关闭索引（谷歌上的大量教程）
• 加密所有关键数据，例如密码
• 了解加密选项（AES，MD5，SHA等）之间的高级别差异

您还应该熟悉一些常见的攻击如何工作，例如SQL注入和跨站点脚本（XSS）