如果你是乙個php程式設計師,那你肯定不想看到你的程式被黑客破壞,甚至你的運營人員經常抱怨,****被人搞了。當然,很多時候我們都說開發用框架比較好。之前我學習框架的時候,一樣,覺得框架學習成本高,不好學,寧可自己弄幾個類庫寫寫。但是這樣的類庫,本身對於專案沒有開發10個以上的開發人員來說,你的**安全嗎?所以,很多時候,很多人在論壇討論為什麼要用框架開發是有原因的,框架將我們最基本的安全給處理了,讓你省心了。
/*** 安全過濾類-全域性變數過濾
if ($globals['initphp_conf']['isuri']) $this->uri(); //是否開啟uri訪問模式
}
/*** 安全過濾類-獲取get或者post的引數值,經過過濾
* * @param string|array $value 引數
* @param bool $isfliter 變數是否過濾
* @return string|array
*/public function get_gp($value, $isfliter = true) else
return $temp;
} }
/**
* sql組裝-私有sql過濾
* * @param string $val 過濾的值
* @param int $iskey 0-過濾value值,1-過濾字段
* @return string
*/private function build_escape_single($val, $iskey = 0) else
} else
}
/**
* initphp 輸出處理函式
* * @param array $value 需要過濾的變數
* @return object
*/public static function output($value, $type = 'encode') else
}
/**
* 類載入-獲取全域性token,防止csrf攻擊
* @return
*/public function get_token()
/*** 類載入-檢測token值
* @return
*/public function check_token($ispost = true)
/*** 類載入-設定全域性token,防止csrf攻擊
* * @return
*/private function set_token()
}
review你的程式**,是否沒有做到程式過濾,比如只進行js的過濾,不做php端的過濾。
許可權是否到位。比如你的每個頁面是否需要一定使用者許可權來訪問,而惡意使用者經過url就能來操控。
你的int型別之類的資料是否強制轉換?
上傳檔案是乙個很危險的過程,是否限制了上傳檔案的型別,做了簡單的檔案檢查?
以上大概就是常用的php安全方面的知識,一般情況下,只要記住,外部進來的資料,都是不可信任的、需要過濾的。包括你的url中的分頁page引數,你不進行轉化,也會成為xss的攻擊入口!
最近一些想法
1.it系統的建設中,當前的方 似乎仍舊沒有足夠重視對目標的認識 這造成的結果,以盲人摸象來形容,實際上是太輕了。今天上街看給小孩玩的電動小象形狀會唱歌但不會動的那種汽車,小孩的媽媽說,咱們去騎小象吧,這給了我乙個認識 我們建模的時候甚至在更早的步驟中進行分析和抽象的時候,往往就是這麼做的。即便不是...
談一些想法
睡不著,做夢驚醒。不知不覺,又是乙個6月8號過去了,如果一切正常的話,應該又有一大批的學弟學妹們走下了考場,滿懷憧憬地準備迎接人生的下乙個十字路口。一年前的我,現在應該坐在家裡,想著我報考什麼學校和專業吧。最開始可能想去北京,報考計算機或者機械,或者別的什麼專業。去年填報志願的時候,人工智慧炒的非常...
一些簡單的想法
我的關於pat甲級考試的總結的訪問量是其他文章訪問量的總和還要多。一是我這裡確實沒什麼乾貨 二是我這裡的內容可搜尋性不強,本身標題無傳播性 三是感覺大家對pat考試蠻重視的。但是,至少現在以我的親身經歷來講,如果只是考個乙級的話,企業應該是不看重的。其實去年十二月份的考試考得一般,今年三月份的成績反...