php安全速查手册 v1.0 _personal.pdfVIP

PHP 安全速查手册v1.0 1.XSS防范：过滤掉不必要的html标签或进行转义 注意：由于HTMLPurifier 做的安全检查比较全面，在处理较大数据 文本过滤：过滤掉标签和不合法字符 量时性能问题比较明显。 （1）不要直接将 $_GET、$_POST、$_COOKIE变量直接输出到页 更多用法，参考：/doc 面上，一定要进行过滤或转义，如： 对不安全的预定义便令进行过滤： 使用过滤的方式： 使用 $_SERVER[PHP_SELF] 或 $_SERVER[REQUEST_URI] 时要 echofilter_input(INPUT_GET,output,FILTER_SANITIZE_STRING); 做安全过滤，比如 对，INPUT_POST、INPUT_COOKIE、INPUT_GET都需要过滤 echofilter_val($_SERVER[PHP_SELF], 使用转义的方式，如： FILTER_SANITIZE_SPECIAL_CHARS); echohtmlspecialchars($_POST[ouput],ENT_QUOTES); 否则，类似/user/a.php/scriptalert(1);/script，会 或： 产生j 注入。 echohtmlentities($_POST[ouput], ENT_QUOTES); 2.SQL注入防范：使用参数化查询方式 （2）对于输出到页面上的变量也主要进行过滤或转义，如： 推荐使用PDO或者ORM框架的参数化查询方式，避免使用字符串 $dirty_str=scriptalert(1);/script; 直接拼接SQL语句。 使用过滤的方式： 例如： echofilter_var($dirty_str,FILTER_SANITIZE_STRING); $sql=SELECT*FROMstudentsWHEREid=:id; 使用转义的方式： $stmt=$dbh-prepare($sql); echohtmlspecialchars($dirty_str,ENT_QUOTES); $stmt-bindPara (:id,$id); 或： $stmt-execute(); echohtmlentities($dirty_str,ENT_QUOTES); 直接使用mysql_query 执行sql语句时要对变量进行过滤，如： $name=mysql_real_es