php项目安全问题
常见安全问题: 恶意攻击,暴力破解;Sql注入;Xss攻击。 (1)恶意攻击,暴力破解 Get方式恶意攻击,(dos),通常硬件的方式来防止,防火墙。 Post方式暴力破解,从程序的角度来防止,最通用的方法就是增加验证码。 (2)Sql注入 黑客通过在表单中填入特殊的字符或者是 url中增加特殊的字符,然后想 数据库 发起请求,拼凑出sql语句,达到攻击的目的。 有两种形式:Post表单提交;Get的url传参。 a.表单提交-万能密码 xxx' or '1 password = '$password'=>Password = ‘ xxx' or ‘1 ‘ 如何防范万能密码呢?最简单的方式,就是给密码加密。加密的方式有很多,比如md5,sha1。 $password=md5($password)。 或者用addslashes()和mysql_real_escape_string()等转义函数进行转义,一般addslashes()和mysql_real_escape_string()更常用。 万能用户名 如何防止万能用户名?不要加密,不可取。不管是万能用户名 和 万能密码, 他们都利用了 一个 特殊字符-------单引号,让你的单引号失去本身的意义。 单引号转义,使用addslashes函数。 通过上面的分析,我们得出一个结论:凡是是用户提交的信息,都是不能相信的,都需要进行处理