PHP 安全規(guī)則

請(qǐng)參考產(chǎn)品安全檢查表。

輸入和輸出
檢查是否做了HTML代碼的過濾
可能出現(xiàn)的問題：如果有人輸入惡意的HTML代碼，會(huì)導(dǎo)致竊取cookie, 產(chǎn)生惡意登錄表單，和破壞網(wǎng)站
檢查變量做數(shù)據(jù)庫操作之前是否做了escape
可能出現(xiàn)的問題：如果一個(gè)要寫入查詢語句的字符串變量包含了某些特殊的字符，比如引號(hào)(’ ,”)或者分號(hào)(;) 可能造成執(zhí)行了預(yù)期之外的操作。
建議采用的方法：使用mysql_escape_string() 或?qū)崿F(xiàn)類似功能的函數(shù)。
檢查輸入數(shù)值的合法性
可能出現(xiàn)的問題：異常的數(shù)值會(huì)造成問題。如果對(duì)輸入的數(shù)值不做檢查會(huì)造成不合法的或者錯(cuò)誤的數(shù)據(jù)存入U(xiǎn)DB、存入其它的數(shù)據(jù)庫或者導(dǎo)致意料之外的程序操作發(fā)生。
舉例：
如果程序以用戶輸入的參數(shù)值做為文件名，進(jìn)行文件操作，惡意輸入系統(tǒng)文件名會(huì)造成系統(tǒng)損毀。
核實(shí)對(duì)cookie的使用以及對(duì)用戶數(shù)據(jù)的處理
可能出現(xiàn)的問題：不正確的cookie使用可能造成用戶數(shù)據(jù)泄漏
訪問控制
對(duì)內(nèi)部使用的產(chǎn)品或者供合作方使用的產(chǎn)品，要考慮增加訪問控制
logs
確保用戶的保密信息沒有記在log中(例如：用戶的密碼)
確保對(duì)關(guān)鍵的用戶操作保存了完整的用戶訪問記錄
https
對(duì)敏感數(shù)據(jù)的傳輸要采用https