Chinaunix首页 | 论坛 | 博客
  • 博客访问: 559279
  • 博文数量: 107
  • 博客积分: 5229
  • 博客等级: 大校
  • 技术积分: 1158
  • 用 户 组: 普通用户
  • 注册时间: 2007-06-08 10:50
文章分类
文章存档

2015年(1)

2014年(1)

2012年(5)

2011年(22)

2010年(12)

2009年(13)

2008年(34)

2007年(19)

我的朋友

分类: 项目管理

2012-09-08 21:18:55

哈哈,这个标题有的骗人,主要为了好搜索。望大家原谅。
 
在前一段时间,我最做了一个项目,在项目制作完成时比较高兴,因为终于完成了这个小马拉松式的项目。但是遇到了一个我前所未有的事情,漏洞扫描。对方公司去第三方机构进行漏洞扫描。发现了三大问题:资源注入、sql注入、跨站攻击。
 
首先说一下Sql注入,主要的问题就是将你的sql语句进行解析,一边在PHP中使用pdo自带的方法可以解除这个问题,要不然就将所写的数据转化成为unicode形式可以处理掉这个问题。
 
接下来就要缩一下资源注入了,所谓的资源注入,就是对于上传文件进行拓展名的区分、是否通过HTTP进行上传、另外就是你的临时文件夹需要制定(在php.ini中可以设置临时文件夹),最后就是所获得的路径或者名称都要有一个参数来提取出正确的文件名称,(php中basename()方法)
 
最后需要注意的是跨站攻击问题,其实就是所传输的参数需要经过加密一下进行处理,并且获得值后需要设置一下所获得的值的类型就是一些细节问题。
 
编写了这么长时间的PHP第一次遇到这样子的问题,同时也已经将其弄明白,哈哈比较高兴,我是编写PHP的,想给大家一些简单的建议,就是在编写PHP时一定要将错误报告等级加大,显示全部错误,这样才可以练就一下写代码的习惯,同时就是PHP是一个弱类型的语言,所以希望大家所传输的每一个数据都要制定好该值的类型,弄得明明白白不是很好嘛,最后给大家一个邮箱有问题可以一起交流哈哈。
 
有什么不明白的可以直接给我发送邮件
QQ:2444756311 (有时候可能不在)希望大家遇到问题多多交流。
阅读(2954) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~