<分区>
<分区>
我通常使用 codeigniter 框架工作,它提供了一些帮助来防止 sql 注入(inject),例如xss 清除表单输入数据。
我对什么是 sql 注入(inject)以及如何阻止它的发生有基本的了解,但是我的一个 friend 有一个非常基本的站点,其中唯一的用户输入是一个 cgi 表单到电子邮件脚本 - 站点的部分内容已被替换带有一些成人内容。
所以我很好奇有人如何获得对这样一个基本站点的控制权,以及在构建自己的站点时我应该注意哪些漏洞?
最佳答案
开始的好地方是 OWASP .
特别是 OWASP Top 10 details the most common security issues .
原则上你应该...
从不信任用户输入(包括表单输入、URL 输入、cookies - 用户可以更改的任何内容,包括使用 Firebug 等检查工具或 Fiddler 等中间人工具)。这方面有很多类别,但 OWASP 确实单独涵盖了它们。
永远不要信任其他人的脚本(即您在您的网站中包含他们的 JavaScript 文件,或在您的网站中包含他们的 PHP 文件)
从不通过纯 HTTP 执行登录或其他敏感数据交换
关于php - 除了 SQL 注入(inject)之外,我还应该注意网站中的哪些其他安全漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12623373/