基本防御手段

暴力破解

设置anti-csrf token 验证码

设置登录失败次数 锁定时间

设置过滤特殊字符防止sql注入

命令执行

过滤黑名单

替换、转义关键字

设置白名单

CSRF

设置anti-csrf

获取当前用户信息

文件包含

设置白名单

文件包含和文件上传结合

文件上传

上传文件重命名

设置anti-csrf token

对文件内容筛选

SQL注入、盲注

过滤用户输入

使用预编译处理

使用owasp等安全sql处理api

XSS

过滤用户输入

使用htmlspecialchar()过滤

使用owasp等安全xss处理API

客户端启动xssfilter

Weak session id

使用随机session id起始值