请选择 进入手机版 | 继续访问电脑版

SpeedPHP框架

 找回密码
 注册成为新用户

QQ登录

只需一步,快速开始

查看: 4680|回复: 0

[开发指南] 安全建议

[复制链接]
发表于 2012-8-5 12:00:34 | 显示全部楼层 |阅读模式

在日常开发中,我们需要注意一些PHP的开发建议:

过滤

在SpeedPHP框架的数据库功能中,数组作为参数的情况下,输入的值都会经过“防SQL注入”的过滤。而在字符串参数和SQL直接运行的情况下,开发者应该自行使用spModel的escape函数进行“防注入”过滤,以保证数据库安全。

建议对由用户输入的,显示在页面的数据,进行XSS过滤。过滤的函数可以使用PHP函数htmlspecialchars、strip_ tags、和str_replace等函数进行过滤和转换。

用户登录

建议加入验证码机制以保证无法用程序来进行登录口令的枚举。

加入后台日志机制,记录用户的关键操作以供分析。

系统管理

应定期对系统进行安全检查,检查日志等。

部署时,建议设置“文件夹755、文件644、上传和临时目录设置为777并不可运行程序”。

部署时,启用部署模式,以保证系统调试信息不会出现在浏览器上。

建议使用单一入口,以最大限度保证系统安全。


您需要登录后才可以回帖 登录 | 注册成为新用户

本版积分规则

手机浏览|简版|中文PHP框架|开源协议|SpeedPHP.com ( 粤ICP备08008671号

GMT+8, 2020-4-4 10:55

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表