周梦康 发表于 2014-09-05 3701 次浏览 标签 : 计算机基础

优才网全栈工程师培训课程:http://quanzhan.ucai.cn/

主讲人:罗飞

优才网全栈工程师培训课程之代码安全课笔记

XSS 图示:

黑客在a.com上发了一篇文章,如果a.com的入库没有做好过滤,那么当用户在浏览黑客发的这篇文章的时候那段 JS 就会执行.就会把用户的自己的cookie传到了黑客自己创建的b.com这个网站上了.这样黑客就拿到了用户的 cookie 了.

这个应该注意的就是保证没有尖括号,一般解决办法就是使用htmlspecialchars($str, ENT_QUOTES).

还要防止unicode编码后的 js ,所以需要把unicode编码前面的\给转成实体,这样那段unicode编码就没法解析了.但是正常的反斜线在浏览的时候因为浏览器解析,还是正常显示.

str_replace(‘\\’,‘\’)

SQL注入

随便找了一篇文章补充下:http://blog.csdn.net/stilling2006/article/details/8526458

跨站请求伪造,图片已经说得很明白了,谁知道打开的不健康的网站又没有这样的小脚本呢.

预防方法:

1.判断来源,$_SERVER[‘HTTP_REFERER’]  
2.验证码或者令牌验证,页面初始化是往 session 里存入一个 token,请求的时候通过隐藏表单带上该 token,然后和服务端 session 里面的 token 做对比. 

服务器端还有很多的安全问题,不胜枚举.就不一一笔记了.

评论列表