预防攻击
预防攻击:
|-全局变量
1、register_globals=off
2、判断包含文件是否在本地服务器存在
if(file_exists($module.'.php')){
include $module.'.php';
}
|-跨站运行脚本
通过js
|-sql注入
addslashes()
strip_tags()
|-一些让脚本运行“安全”的技术
1、用户输入的验证
关闭register_globals:php就不再自动注册请求数据为全局变量(如Cookie,Session,Get,Post).
设置error_level选项到最高级别(E_ALL | E_STRICT):将提示你是否对变量进行初始化.
2、对于不同类型的输入,采用不同类型的验证方法。
if(!isset($_GET['prod_id'])){
die("Error,product id was not set");
}
$product_id = intval( $_GET['prod_id'] );