#1 jake
在日常开发中,我们需要注意一些PHP的开发建议:
过滤
在SpeedPHP框架的数据库功能中,数组作为参数的情况下,输入的值都会经过“防SQL注入”的过滤。而在字符串参数和SQL直接运行的情况下,开发者应该自行使用spModel的escape函数进行“防注入”过滤,以保证数据库安全。
建议对由用户输入的,显示在页面的数据,进行XSS过滤。过滤的函数可以使用PHP函数htmlspecialchars、strip_ tags、和str_replace等函数进行过滤和转换。
用户登录
建议加入验证码机制以保证无法用程序来进行登录口令的枚举。
加入后台日志机制,记录用户的关键操作以供分析。
系统管理
应定期对系统进行安全检查,检查日志等。
部署时,建议设置“文件夹755、文件644、上传和临时目录设置为777并不可运行程序”。
部署时,启用部署模式,以保证系统调试信息不会出现在浏览器上。
建议使用单一入口,以最大限度保证系统安全。
2012-08-05 12:00:34