#1 燃烧战车

请问speedphp是怎样防跨站脚本攻击的?

2010-10-19 08:46:07

#2 jake

其实这个问题，应该是“PHP如何防止跨站脚本攻击?”，相信答案在网络上也是一搜一大堆。
防止这种攻击，PHP本身就有许多函数可以做到，而且各有不同的特点，比如说：
htmlentities，htmlspecialchars，str_replace，甚至是最严厉的strip_tags等，而且网上也有许多过滤脚本的PHP函数，这里就不一一述说了。
从开发风格和作用上面来说，不同的应用有不同的输入要求，所以也会根据情况选用这些PHP本身的函数。比如在微博上面，发表的时候是不需要任何的HTML或者是换行，所以可以用strip_tags来完全过滤。又比如在类似ckeditor等编辑器中，也有对应的仅允许部分html标签的处理。甚至很多应用程序，因为没有太多的输入，所以也就不需要过滤了。
因为PHP本身函数可以做到的事情，所以SpeedPHP也就没再加上什么封装了。希望了解这方面安全问题的朋友，可以Google一下“PHP XSS”，有许多文章可以参考。
而SpeedPHP防止的，是更为根本的“SQL注入攻击”。也就是首先从最底层数据库方面保证了安全。

2010-10-19 09:24:34