🔥码云GVP开源项目 12k star Uniapp+ElementUI 功能强大 支持多语言、二开方便! 广告
1.SQL注入:用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。 防止:使用mysql_real_escape_string()过滤数据 ,手动检查每一数据是否为正确的数据类型 2.XSS攻击 :跨站点脚本攻击,由用户输入一些数据到你的网站,其中包括客户端脚本(通常JavaScript)。如果你没有过滤就输出数据到另一个web页面,这个脚本将被执行 防止:为了防止XSS攻击,使用PHP的htmlentities()函数过滤再输出到浏览器 3.CSRF:跨站点请求伪造,是指一个页面发出的请求,看起来就像是网站的信任用户,但是是伪造的 防止:一般来说,确保用户来自你的表单,并且匹配每一个你发送出去的表单。(表单token) 4.代码注入:代码注入是利用计算机漏洞通过处理无效数据造成的。问题出在,当你不小心执行任意代码,通常通过文件包含。写得很糟糕的代码可以允许一个远程文件包含并执行。如许多PHP函数,如require可以包含URL或文件名 防止:在php.ini中设置禁用allow\_url\_fopen和allow\_url\_include。这将禁用require/include/fopen的远程文件