PHP基本安全防范,初学者必看
1、一般页面通过GET接收的参数都是INT型(整型)居多,但是要防范一些不规范的输入,接收时用整型函数转换一下
$id=intval($_GET["id"]);
2、有上传功能时,一定要检查文件类型。不能任意由访客上载所有文件。(特别要注意一些HTML编辑器的漏洞)
3、网站正式推出后,前面加上一句:error_reporting(0); 不要将错误显示出来
4、凡保存密码的字段都用MD5加密再保存。并且限制密码的复杂度,这样即使受到SQL注入攻击,获取的也是不能解密的密文。虽然现在有些工具可以反破解MD5加密,一般都是用穷举法,对于复杂的密码还是无法破解的。
5、编写搜索引擎机器人规则即(robots.txt,具体规则可以百度下,或者参考百度爬虫规则http://www.baidu.com/search/robots.html),不要让搜索引擎收录敏感的文件。
6、使用查询时尽量不要使用 select * from table_name ,即使是需要查询全部的字段,而应该使用 select 字段1,字段2,字段3 from table_name这种形式,避免别人利用注入攻击查询了其它的字段甚至其它的表字段。
7、不能只用javascript对用户输入进行安全性检查,提交之后仍要再检查一次
http://www.zhengbin.org/
相关文档:
一 Apache 的安装
1 Apache 的安装
2 同意协议
3 接着 "Next "
4 填写 域名(network domain) 服务器的名称 (Server Name) 管理者邮箱(Administrator's Email)
5 安装类型
6 选择安装路径
7 点击“install ” 继续
8 开始安装
9 安装结束
二 MySql的安装
......
在javascript代码中用encodeURIComponent()函数处理中文字符串,
JS代码:
<mce:script type=”text/javascript”><!--
string = encodeURIComponent(string);
location.href = index.php?keyword=’+string;
// --></mce:script>
PHP代码:
<?php
$keyword = (isset($_GET ......
用PHP实现手机归属地查询api接口:
主要使用curl实现,需要开启php对curl的支持.
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Conten ......
1.1
exit() 函数输出一条消息,并退出当前脚本。
如果 status
是字符串,则该函数会在退出前输出字符串。
如果 status
是整数,这个值会被用作退出状态。退出状态的值在 0 至 254 之间。退出状态 255 由 PHP 保留,不会被使用。状态 0 用于成功地终止程序。
1.2
301 Moved Permanently 客户请求的文档在其他地方, ......
先说下在做的过程中遇到的一些问题,以及解决的方法吧
1.关于书写错误
最开始做的是一个登陆模块,在登陆验证的时候,使用$_POST接收的参数,然后在验证的时候,却怎么也接收不到这两个值,后来才发现$_POST写错了,写成$POST 少个下划线,结果无法正确的验证,很是郁闷。花了好长时间,才找到原因,而且还是一个低 ......
