Règles de sécurité PHP

Veuillez vous référer à la liste de contrôle de sécurité du produit.

Entrée et sortie
Vérifiez si le filtrage du code HTML est effectué
Problèmes possibles : si quelqu'un entre du code HTML malveillant, cela entraînera le vol de cookies, la génération de formulaires de connexion malveillants et l'endommagement du site Web
Vérifiez si les variables sont effectuées avant d'effectuer des opérations sur la base de données. Problèmes possibles avec escape
 : Si une variable de chaîne à écrire dans une instruction de requête contient certains caractères spéciaux, tels que des guillemets (',") ou un point-virgule (;), des opérations inattendues peuvent être effectuées.
Méthode recommandée : utilisez mysql_escape_string( ) ou une fonction qui implémente des fonctions similaires.
Vérifiez la légalité de la valeur d'entrée
Problèmes possibles : des valeurs anormales entraîneront des problèmes si les valeurs d'entrée ne sont pas vérifiées ou si des données incorrectes sont stockées dans UDB ou d'autres bases de données, ou. des opérations inattendues du programme se produisent.
Exemple :
Si le programme utilise la valeur du paramètre saisie par l'utilisateur comme nom de fichier pour effectuer des opérations sur les fichiers, la saisie malveillante du nom du fichier système entraînera des dommages au système. traitement des données utilisateur
Problèmes possibles : Une utilisation incorrecte des cookies peut entraîner une fuite des données utilisateur
Contrôle d'accès
Pour les produits utilisés en interne ou les produits utilisés par des partenaires, il est nécessaire d'envisager d'ajouter un contrôle d'accès
journaux
Assurer que les informations confidentielles des utilisateurs ne soient pas enregistrées dans les journaux (par exemple : mots de passe des utilisateurs)
Assurez-vous que les enregistrements complets d'accès des utilisateurs sont enregistrés pour les opérations clés des utilisateurs
https
Utilisez https
pour la transmission de données sensibles