PHP 安全規(guī)則

請參考產品安全檢查表。

輸入和輸出
檢查是否做了HTML代碼的過濾
可能出現(xiàn)的問題：如果有人輸入惡意的HTML代碼，會導致竊取cookie, 產生惡意登錄表單，和破壞網站
檢查變量做數據庫操作之前是否做了escape
可能出現(xiàn)的問題：如果一個要寫入查詢語句的字符串變量包含了某些特殊的字符，比如引號(’ ,”)或者分號(;) 可能造成執(zhí)行了預期之外的操作。
建議采用的方法：使用mysql_escape_string() 或實現(xiàn)類似功能的函數。
檢查輸入數值的合法性
可能出現(xiàn)的問題：異常的數值會造成問題。如果對輸入的數值不做檢查會造成不合法的或者錯誤的數據存入UDB、存入其它的數據庫或者導致意料之外的程序操作發(fā)生。
舉例：
如果程序以用戶輸入的參數值做為文件名，進行文件操作，惡意輸入系統(tǒng)文件名會造成系統(tǒng)損毀。
核實對cookie的使用以及對用戶數據的處理
可能出現(xiàn)的問題：不正確的cookie使用可能造成用戶數據泄漏
訪問控制
對內部使用的產品或者供合作方使用的產品，要考慮增加訪問控制
logs
確保用戶的保密信息沒有記在log中(例如：用戶的密碼)
確保對關鍵的用戶操作保存了完整的用戶訪問記錄
https
對敏感數據的傳輸要采用https