原文地址：http://blogread.cn/it/article/6086?f=wb

 

前言：

首先，笔记不是web安全的专家，所以这不是web安全方面专家级文章，而是学习笔记、细心总结文章，里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员，安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是：“知道有这么一回事，编程时自然有所注意”。有什么不妥、错误的请联系:chen_bin_wen@163.com/445235728@qq.com

概要：

1、php一些安全配置

(1)关闭php提示错误功能

(2)关闭一些“坏功能”

(3)严格配置文件权限。

2、严格的数据验证，你的用户不全是“好”人

2.1为了确保程序的安全性，健壮性，数据验证应该包括内容。

2.2程序员容易漏掉point或者说需要注意的事项

3、防注入

  3.1简单判断是否有注入漏洞以及原理

  3.2常见的mysql注入语句

      (1)不用用户名和密码

      (2)在不输入密码的情况下，利用某用户

      (3)猜解某用户密码

(4)插入数据时提权

(5)更新提权和插入提权同理

(6)恶意更新和删除

(7)union、join等

(8)通配符号%、_

(9)还有很多猜测表信息的注入sql

  33防注入的一些方法

      2.3.1 php可用于防注入的一些函数和注意事项。

      2.3.2防注入字符优先级。

2.3.3防注入代码

   (1)参数是数字直接用intval()函数

   (2)对于非文本参数的过滤

(3)文本数据防注入代码。

(4)当然还有其他与addslashes、mysql_escape_string结合的代码。

4、防止xss攻击

4.1Xss攻击过程

4.2常见xss攻击地方

4.3防XSS方法

5、CSRF

5.1简单说明CSRF原理

5.2防范方法

6、防盗链

7、防拒CC攻击

---------------------------------------------------------------------

 

1、php一些安全配置

(1)关闭php提示错误功能

在php.ini 中把display_errors改成