这里是Z哥的个人公众号
每周五11:45 按时送达
当然了,也会时不时加个餐~
我的第「158」篇原创敬上
有人问一位搞 WEB 安全的人为什么 PHP 是世界上最好的语言,他的回答是 PHP 网站漏洞多,有饭吃。
SQL注入
跨站脚本攻击(XSS)
跨站请求伪造(CSRF)
越权漏洞
SELECT * FROM user WHERE id = ‘1 or 1 = ‘1’ 。加粗部分就是用户输入的内容。
做好权限校验,不要偷懒。
编号或者id类的数据,避免顺序增加。还有一个额外的好处是,避免竞争对手猜到你们的真实订单数。
只要是外部输入的数据,一定要做好全面的校验,确保处理并返回的数据是符合预期的。
代码的实现尽量减少多余的外部交互。
错误处理的时候,一定不要将技术层面的异常信息抛出到用户端,特别是堆栈信息。
SQL注入
跨站脚本攻击(XSS)
跨站请求伪造(CSRF)
越权漏洞
推荐阅读:
原创不易,如果你觉得这篇文章还不错,就「在看」或者「分享」一下吧。鼓励我的创作 :)
如果你有关于软件架构、分布式系统、产品、运营的困惑
可以试试点击「阅读原文」