Php安全新闻早8点(2011-11-22 星期二)

  • A+
所属分类:lcx

    http://hi.baidu.com/micropoor

//2011-11-22 星期二
//插入篇----Php程序员角度看安全
//今天全局我们站在Php程序员的角度看待问题
//以及解决问题
结论:一切的输入都是有害的.
//参考Php安全新闻早8点(2011-11-12 星期六)
http://hi.baidu.com/micropoor/blog/item/f200689bf907af56d1135ec6.html
既然是一切的输入都是有害的,那么就从输入输出讲起。
##################################################
1.接受任何变量的时候,都请记住,是有害的开始。确定用户输入的变量类型,如整形,字符串型。可以使用(int)或者(intval)
函数强制转换。字符串可以考虑使用addslashes 或 mysql_escape_string(如果考虑数据库编码请连接数据库后使用mysql_real_escape_string更安全。
针对GBK等编码,使用该函数能够防范目前很多GBK编码爆出的注入漏洞)
2.数据在输出时候的处理。可以考虑strip_tags做过滤。或者使用 htmlspecialchars 进行html标签转义并且安全输出。切记做好部分标签的转义输出
例如:

    结论:安全就是细心的转义.

文章来源于lcx.cc:Php安全新闻早8点(2011-11-22 星期二)

相关推荐: 【漏洞】ki Wiki CMS本地文件包含及跨站脚本

漏洞标题:     ki Wiki CMS 本地文件包含和跨站脚本漏洞     ki Wiki CMS 本地文件包含以及跨站脚本漏洞 漏洞描述:     攻击者可以通过浏览器利用这些问题。利用一个跨站点脚本问题,攻击者必须诱使不知情的用户点击一个恶意的URI。…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: