You are here
php 安全性
PHP执行SQL时用 bind_param绑定参数查询以避免SQL注入,用htmlspecialchars安全输出内容,避免XSS攻击。
运维可以配置open_basedir限制PHP能够操作的目录,可以配置disable_functions禁用危险的函数(比如执行系统命令的shell_exec以及PHP的一些进程控制函数等),可以对上传目录配置禁止PHP解析.最重要的还是开发人员要写出安全的代码,正确验证和过滤用户输入,避免SQL注入和XSS攻击,无论对什么语言的使用者,这些都是需要注意的,不仅仅是PHP.
来自 http://www.oschina.net/question/123890_177384?sort=default&p=1
运维可以配置open_basedir限制PHP能够操作的目录,可以配置disable_functions禁用危险的函数(比如执行系统命令的shell_exec以及PHP的一些进程控制函数等),可以对上传目录配置禁止PHP解析.最重要的还是开发人员要写出安全的代码,正确验证和过滤用户输入,避免SQL注入和XSS攻击,无论对什么语言的使用者,这些都是需要注意的,不仅仅是PHP.
来自 http://www.oschina.net/question/123890_177384?sort=default&p=1
普通分类: