浅谈PHP安全规范

可以看到代码中对txtName和mtxMessage用htmlspecialchars()转义成了html实体，但是仅有这个是不够的，我们从前面的函数解释可以了解到，这个函数在不加ENT_QUOTES参数是默认不转义’，而且该函数不考虑(容易造成sql注入，语句单引号被转义问题，当然数据库交互不是PDO模式才有可能存在sql注入)，这样仍旧会造成xss，好在代码之前还使用了stripslashes()和mysql_real_escape_string()来分别对’和进行过，从而杜绝了xss。

参考文献

• https://www.sitepoint.com/top-10-php-security-vulnerabilities/
• http://blog.jobbole.com/53821/
• https://www.owasp.org/index.php/PHP_Configuration_Cheat_Sheet
• http://www.dvwa.co.uk/
• https://github.com/Go0s/LFIboomCTF

【编辑推荐】

1. 注意了，25款安卓手机存在漏洞，手机中病毒就是这些漏洞造成！
2. 解析漏洞管理的五个阶段
3. 系统出现重大漏洞，Windows用户要小心了
4. WiFi新漏洞可致数据泄露 影响所有路由器
5. 漏洞管理的定义与最佳实践

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!