資訊專欄INFORMATION COLUMN
摘要:一切輸入都是不可信的一切輸入都是不可信的一切輸入都是不可信的變量的處理程序中所有來(lái)的變量都是不可信的輸入的變量組成前都要用處理輸入的變量回顯在頁(yè)面或者存入數(shù)據(jù)庫(kù)錢都要用函數(shù)處對(duì)于傳入的整數(shù)或浮點(diǎn)數(shù)可以使用或處理關(guān)閉安全掌握到自己的手里數(shù)據(jù)加
一切輸入都是不可信的
一切輸入都是不可信的
一切輸入都是不可信的
變量的處理web 程序中所有 get post cookies update_files 來(lái)的變量都是不可信的
輸入的變量組成 mysql SQL 前都要用 mysql_real_escape_string() 處理
輸入的變量回顯在頁(yè)面或者存入數(shù)據(jù)庫(kù)錢都要用 htmlspecialchars() 函數(shù)處
對(duì)于傳入的整數(shù)或浮點(diǎn)數(shù)可以使用 intval() 或 floatval() 處理
關(guān)閉 magic_quotes_runtime 安全掌握到自己的手里 set_magic_quotes_runtime(false)
數(shù)據(jù)加密序列化 -> 加密 -> 解密 -> 反序列化
$userinfo = "信息"; //用戶信息
$secureKey = "密鑰"; //加密密鑰
$str = serialize($userinfo); //將用戶信息序列化
echo "用戶信息加密前:".$str;
$str = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $secureKey, $str, MCRYPT_MODE_ECB));
echo "用戶信息加密后:".$str;
//將加密后的用戶數(shù)據(jù)存儲(chǔ)到cookie中
setcookie("userinfo", $str);
//當(dāng)需要使用時(shí)進(jìn)行解密
$str = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $secureKey, base64_decode($str), MCRYPT_MODE_ECB);
$uinfo = unserialize($str);
echo "解密后的用戶信息:
";
var_dump($uinfo);
密碼加密
$password = "密碼"; $salt = substr(uniqid(rand()), -6); echo $salt . " "; $password = md5(md5($password).$salt); echo $password;
