安全方面:
xss :跨站脚本攻击
csrf : 跨站请求伪造
Ddos:用很多机器对网址进行请求,把服务器某方面搞挂。
sql注入: 通过关键字或者非法字符的注入,实现一些对数据库一些非正常的操作
最简单的demo :
在用户登陆的时候,用户名和密码的判断,密码后加上 or 1=1
如何防止sql注入:
关键字的过滤
pdo预处理
php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off
addslashes stripslashes
mysql_real_escape_string
对一些数据类型做强制的校验
如何防止xss攻击?
xss攻击最简单的方式就是通过地址栏输入<script></script>,最简单的列子我们在php在使用一个get的a参数的时候,如何客户端传过来是<script>alert(1)</script>,
这样的话就会在我们的浏览器弹出来1,如果是页面的跳转,或者是一些其它脚本、病毒的话,可能对我们网站的安全造成很大的隐患。
最简单的解决办法
不要相信客户端的任何输入,在程序做严格的判断以及处理
htmlspecialchars进行过滤
csrf :
它是指所有攻击者通过伪造他人的HTTP请求进行攻击的类型
这个我们在学curl的时候做的模拟登陆就是跨站请求伪造!!!!
使用嵌入资源如图片的方式是最普遍的最简单的大白话就是:a网站往b网站请求数据。加个token防止下就行了,简单,粗暴,有效,