程序员:php代码安全

网络地址(IP)验证:正常的用户一般情况下是不会在你网站上做事情突然更换ip;(注:ip更换有很多原因,但是考虑到大多数用户是不会出现这样子情况。)程序员对用户ip进行验证可以防止SESSION,Cookie被窃取。当我们的代码判断ip更换成其他的呢,就立即撤销用户的SESSION,Cookie让用户重新登陆认证,确认用户的数据安全。

防止脱库:程序员应该都是CSDN的用户密码泄漏事件吧!真想不到当时官方敢这么大胆,明文保存用户的登录密码。通常我们的密码会使用md5加密。新一看到其他程序中有一个很简单的方法,就是加上密钥和密码联合加密。这样子,如果http服务器和mysql服务器不在同一台中,或者只有mysql的权限,hacker就不能修改密码呢?因为他不知道密钥是什么?所以匹配成功的概率非常之低。

上传功能:hack很多小马都是经过此处上传的。前几年这个地方的bug非常多。程序员对上传功能需要进行类型判断,文件大小判断。一般就不会出现大问题。提交数据:$_GET,$_POST ~~~只要对外来数据都需要进行过滤,程序员一定不能相信用户的数据。必须对用户进行严格的限制。方能保证安全。

转载请注明来源:新一 » 程序员:php代码安全

赞 (0) 评论 (0) 分享 ()