http://hi.baidu.com/micropoor
|
//2011-11-22 星期二
//插入篇----Php程序员角度看安全
//今天全局我们站在Php程序员的角度看待问题
//以及解决问题
结论:一切的输入都是有害的.
//参考Php安全新闻早8点(2011-11-12 星期六)
http://hi.baidu.com/micropoor/blog/item/f200689bf907af56d1135ec6.html
既然是一切的输入都是有害的,那么就从输入输出讲起。
##################################################
1.接受任何变量的时候,都请记住,是有害的开始。确定用户输入的变量类型,如整形,字符串型。可以使用(int)或者(intval)
函数强制转换。字符串可以考虑使用addslashes 或 mysql_escape_string(如果考虑数据库编码请连接数据库后使用mysql_real_escape_string更安全。
针对GBK等编码,使用该函数能够防范目前很多GBK编码爆出的注入漏洞)
2.数据在输出时候的处理。可以考虑strip_tags做过滤。或者使用 htmlspecialchars 进行html标签转义并且安全输出。切记做好部分标签的转义输出
例如:
|
结论:安全就是细心的转义.
文章来源于lcx.cc:Php安全新闻早8点(2011-11-22 星期二)
相关推荐: 【漏洞】ki Wiki CMS本地文件包含及跨站脚本
漏洞标题: ki Wiki CMS 本地文件包含和跨站脚本漏洞 ki Wiki CMS 本地文件包含以及跨站脚本漏洞 漏洞描述: 攻击者可以通过浏览器利用这些问题。利用一个跨站点脚本问题,攻击者必须诱使不知情的用户点击一个恶意的URI。…
评论