PHP中常见哪些安全问题及如何有效防范?
- 内容介绍
- 文章标签
- 相关推荐
本文共计736个文字,预计阅读时间需要3分钟。
SQL注入是您网站最大的威胁之一,若您的数据库受到SQL注入攻击,他人可轻易获取您的数据。解决方法:主流的解决方案有使用参数化查询或预处理语句。
1、SQL注入
SQL 注入是对您网站最大的威胁之一,如果您的数据库受到别人的 SQL 注入的攻击的话,别人可以转出你的数据库,也许还会产生更严重的后果。
解决方法:
主流的解决方法有两种。转义用户输入的数据或者使用封装好的语句。转义的方法是封装好一个函数,用来对用户提交的数据进行过滤,去掉有害的标签。但是,我不太推荐使用这个方法,因为比较容易忘记在每个地方都做此处理。
下面,我来介绍如何使用 PDO 执行封装好的语句( mysqi 也一样):
$username = $_GET['username']; $query = $pdo->prepare('SELECT * FROM users WHERE username = :username'); $query->execute(['username' => $username]); $data = $query->fetch();
2、XSS
XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意攻击用户的特殊目的。
解决方法:
坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。
本文共计736个文字,预计阅读时间需要3分钟。
SQL注入是您网站最大的威胁之一,若您的数据库受到SQL注入攻击,他人可轻易获取您的数据。解决方法:主流的解决方案有使用参数化查询或预处理语句。
1、SQL注入
SQL 注入是对您网站最大的威胁之一,如果您的数据库受到别人的 SQL 注入的攻击的话,别人可以转出你的数据库,也许还会产生更严重的后果。
解决方法:
主流的解决方法有两种。转义用户输入的数据或者使用封装好的语句。转义的方法是封装好一个函数,用来对用户提交的数据进行过滤,去掉有害的标签。但是,我不太推荐使用这个方法,因为比较容易忘记在每个地方都做此处理。
下面,我来介绍如何使用 PDO 执行封装好的语句( mysqi 也一样):
$username = $_GET['username']; $query = $pdo->prepare('SELECT * FROM users WHERE username = :username'); $query->execute(['username' => $username]); $data = $query->fetch();
2、XSS
XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意攻击用户的特殊目的。
解决方法:
坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。