1------非法登陆
session_start();
2------注册 发布 回复帖子 重复提交应用
可以用session设置时间mktime();
$_SESSION['conn']=mktime();
判断时间是否一致,不一致,不能重复提交;
3------url地址加密
urlencode("首页") 加密
<a href="index.php?page=<?php echo urlencode("首页"); ?> ">首页</a>
urldecode()解密
<?php echo urldecode($_GET['page']); ?>
4------html过滤非法字符
3个内置函数解决
htmlspecialchars(); str_replace();trim();
//方法
function unhtml($content){
$content=htmlspecialchars($content);
$content=str_replace(chr(13),"<br>",$content);
$content=str_replace(chr(32)," ",$content);
$content=str_replace("[_[","<",$content);
$content=str_replace(")_)",">",$content);
$content=str_replace("|_|","",$content);
return trim($content);
}
5-----禁止输入敏感字符
注册实例
$name=trim($_POST['username']);
for($i=0;$i<=strlen($name),$i++){
$name=substr($name,$i<1);
if($name=="%" or $name =="&" or $name==">" or$name=="<" or $name=="|"){
echo "<script>alert('含有敏感字符,请重新输入');window.history.back();</script>"
}
}
6-----越过表单限制漏洞
最好的办法就是前后台都需要正则验证,因为前台验证在客户端,容易更改,所以前台验证之后后台必须验证。、preg_match($zhengze,值,$counts);
7------文件上传漏洞
上传视频很流行,必须对上传的视频大小、格式进行限制,避免安全隐患
8------隐藏php文件扩展名
攻击者看不出是什么语言编程。认识了解就可以,作用不大 p805