PHP開發微商城注意事項
#相對於Java,C ,C#,Python等語言來說, PHP 在商城方面更有大的優勢,有開發效率高,框架選擇多,可選擇的開源產品多,可以大大減少開發成本和加快產品迭代,比如基於Thinkphp框架開發出的開源商城DSMall,DSHOP,DSKMS等等,基於此類產品開發可以大幅加快開發速度,讓專案迅速上線,同時Thinkphp框架可直接升級。
一般情況下我們在自己開發的過程中,需要注意PHP安全性的知識,以下就說一下常見安全性問題。
1.SQL 注入
SQL 注入是常見網站最大的威脅之一,如果資料庫受到SQL 注入的攻擊,那麼可以取得你全部的資料庫。目前主流的解決方法有兩種。轉義使用者輸入的資料或使用封裝好的語句。一般用一個封裝好的函數,用來過濾使用者提交的資料。
2.XSS
XSS 又叫 CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者在 Web 頁面插入惡意 html 程式碼,當使用者瀏覽該頁之時,嵌入其中 Web 裡面的 html 程式碼會被執行,從而達到惡意攻擊使用者的特殊目的。
正確的做法是堅決不要相信使用者的任何輸入,並過濾掉輸入中的所有特殊字元。這樣就能消滅絕大部分的 XSS 攻擊。
3.XSRF/CSRF 跨站請求偽造
它是攻擊者透過一些技術手段欺騙使用者去訪問曾經認證過的網站並運行一些操作。最常用的防禦方法是產生一個CSRF 令牌加密安全字串,一般稱其為Token,每次你在網頁構造表單時,將Token 令牌放在表單中的隱藏字段, Session 裡的Token 令牌比對,校驗成功才給予通過。
如果在這些TP框架中的開源商城系統中進行二次開發,您這邊需要注意的應該有以下幾點:
1.設定public目錄為唯一對外存取目錄,不要把資源檔案放入應用目錄;
2.開啟表單令牌驗證避免資料的重複提交,能起到CSRF防禦作用;
#3.使用框架提供的請求變數取得方法(Request類別param方法及input助手函數)而非原生系統變數取得使用者輸入資料;
4.對不同的應用程式需求設定default_filter篩選規則(預設沒有任何篩選規則),常見的安全過濾函數包括stripslashes、htmlentities、
htmlspecialchars和strip_tags等,請根據業務場景選擇最合適的過濾方法;
5.使用驗證類別或驗證方法對業務資料設定必要的驗證規則;
推薦教學:PHP影片教學
#以上是php開發微商城要注意什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!