1.銘記乙個基本原則:永遠也不要相信使用者的輸入!
2.輸入檢測。
是否驗證了它的**?
是否檢查了字段的長度?為空或者超長是否會產生問題?
是否限制了字段的可用字符集?數值型、英文本母、可見字元、中文字元,
etc是否含有對程式有特殊含義的字元?
是否限制了字段的取值範圍(特別是數值型資料)?
是否限制了字段的格式?比如日期、時間,
etc是否限制了檔案/路徑名的型別、格式、範圍?
3.輸出檢測。
是否對出錯資訊中包含的web物理路徑、sql語句、出錯源**進行了遮蔽和過濾處理?
是否編碼了引數中的html標籤:<>、單雙引號?
是否過濾了在標籤屬性中的不安全內容?
是否過濾或轉義了對**有特殊含義的字元?例如在對中的引數應該對<、>、』、」、;、(、)、/、/等字元進行轉義
Web安全防範 防止重放攻擊
我們在開發介面的時候通常會考慮介面的安全性,比如說我們通常會要求請求的url攜帶乙個經過演算法加密的簽名sign到服務端進行驗證,如果驗證通過,證明請求是合法的。比如以下的url 醬紫,可能語言難以理解,我畫個圖先 首先正常的請求系統會要求校驗,當你的合法請求被黑客攔截之後,黑客就會重複地傳送該合法...
web開發安全防範 總結篇
廢話不多說,直接上乾貨,希望能夠對各位讀者有幫助.資料庫篇 1.對類似訪問令牌 電子郵箱位址或賬單詳情進行加密處理,尤其是使用者的身份識別資訊 密碼 2.如果你的資料庫支援低成本加密,請確保開啟這項功能並保護主機磁碟中的資料。與此同時,確保所有的備份檔案都進行了加密儲存。3.按照最小許可權原則給資料...
PHP安全防範
php 安全和xss,sql注入等對於各類 的安全非常中用,尤其是ugc user generated content 論壇和電子商務 常常是xss和sql注入的重災區。這裡簡單介紹一些基本程式設計要點,相對系統安全來說,php 安全防範更多要求程式設計人員對使用者輸入的各種引數能更細心.建議安裝s...