PHP安全規則

請參考產品安全檢查表。

輸入和輸出
檢查是否做了HTML程式碼的過濾
可能出現的問題：如果有人輸入惡意的HTML程式碼，會導致竊取cookie, 產生惡意登入表單，和破壞網站
檢查變數做資料庫操作之前是否做了escape
可能出現的問題：如果一個要寫入查詢語句的字串變數包含了某些特殊的字符，例如引號(' ,”)或分號( ;) 可能造成執行了預期之外的操作。
建議採用的方法：使用mysql_escape_string() 或實現類似功能的函數。
檢查輸入數值的合法性
可能出現的問題：異常的數值會造成問題。如果輸入的數值不做檢查會造成不合法的或錯誤的資料存入UDB、存入其它的資料庫或導致意料之外的程式操作發生。
舉例：
如果程式以使用者輸入的參數值做為檔案名，進行檔案操作，惡意輸入系統檔案名稱會造成系統損毀。
核實對cookie的使用以及對使用者資料的處理
可能出現的問題：不正確的cookie使用可能造成使用者資料外洩
存取控制
對內部使用的產品或供合作方使用的產品，要考慮增加存取控制
logs
確保使用者的保密資訊沒有記在log中(例如：使用者的密碼)
確保對關鍵的使用者操作保存了完整的使用者存取記錄
https
對敏感資料的傳輸要採用https