嗨,老铁,欢迎来到我的博客!

如果觉得我的内容还不错的话,可以关注下我在 segmentfault.com 上的直播。我主要从事 PHP 和 Java 方面的开发,《深入 PHP 内核》作者之一。

[视频直播] PHP 进阶之路 - 亿级 pv 网站架构的技术细节与套路 直播中我将毫无保留的分享我这六年的全部工作经验和踩坑的故事,以及会穿插着一些面试中的 考点难点加分点

周梦康 发表于 2014-09-05 3550 次浏览 标签 : 计算机基础

优才网全栈工程师培训课程:http://quanzhan.ucai.cn/

主讲人:罗飞

优才网全栈工程师培训课程之代码安全课笔记

XSS 图示:

黑客在a.com上发了一篇文章,如果a.com的入库没有做好过滤,那么当用户在浏览黑客发的这篇文章的时候那段 JS 就会执行.就会把用户的自己的cookie传到了黑客自己创建的b.com这个网站上了.这样黑客就拿到了用户的 cookie 了.

这个应该注意的就是保证没有尖括号,一般解决办法就是使用htmlspecialchars($str, ENT_QUOTES).

还要防止unicode编码后的 js ,所以需要把unicode编码前面的\给转成实体,这样那段unicode编码就没法解析了.但是正常的反斜线在浏览的时候因为浏览器解析,还是正常显示.

str_replace(‘\\’,‘\’)

SQL注入

随便找了一篇文章补充下:http://blog.csdn.net/stilling2006/article/details/8526458

跨站请求伪造,图片已经说得很明白了,谁知道打开的不健康的网站又没有这样的小脚本呢.

预防方法:

1.判断来源,$_SERVER[‘HTTP_REFERER’]  
2.验证码或者令牌验证,页面初始化是往 session 里存入一个 token,请求的时候通过隐藏表单带上该 token,然后和服务端 session 里面的 token 做对比. 

服务器端还有很多的安全问题,不胜枚举.就不一一笔记了.

嗨,老铁,欢迎来到我的博客!

如果觉得我的内容还不错的话,可以关注下我在 segmentfault.com 上的直播。我主要从事 PHP 和 Java 方面的开发,《深入 PHP 内核》作者之一。

[视频直播] PHP 进阶之路 - 亿级 pv 网站架构的技术细节与套路 直播中我将毫无保留的分享我这六年的全部工作经验和踩坑的故事,以及会穿插着一些面试中的 考点难点加分点

评论列表