安全建议 - SpeedPHP 快速开发框架

在日常开发中，我们需要注意一些PHP的开发建议：

过滤

在SpeedPHP框架的数据库功能中，数组作为参数的情况下，输入的值都会经过“防SQL注入”的过滤。而在字符串参数和SQL直接运行的情况下，开发者应该自行使用spModel的escape函数进行“防注入”过滤，以保证数据库安全。

建议对由用户输入的，显示在页面的数据，进行XSS过滤。过滤的函数可以使用PHP函数htmlspecialchars、strip_ tags、和str_replace等函数进行过滤和转换。

用户登录

建议加入验证码机制以保证无法用程序来进行登录口令的枚举。

加入后台日志机制，记录用户的关键操作以供分析。

系统管理

应定期对系统进行安全检查，检查日志等。

部署时，建议设置“文件夹755、文件644、上传和临时目录设置为777并不可运行程序”。

部署时，启用部署模式，以保证系统调试信息不会出现在浏览器上。

建议使用单一入口，以最大限度保证系统安全。

2012-08-05 12:00:34