使Web应用程序安全 - php

我想制作一个新的php Web应用程序,如果我遵循以下内容,
我的网站安全吗?

使用斜杠转义用户输入($ _GET && $ _POST)
用PDO做准备的陈述
检查用户输入的正确类型(例如int或字符串)

参考方案

安全性是无法提高的,它是一个不断改进的过程。

使用addslashes不会帮助您-您需要使用htmlentities转义输出。
与PDO一起使用准备好的语句是好的。
检查用户输入的类型还不够-您需要更好地对其进行检查。如果您希望通过电子邮件进行地址检查,请不要以为如果有字符串就可以了。

关于安全性,还有许多其他要考虑的事项,例如XSS,CSRF...。

如果可以得到这本书The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws。它充满了有用的建议。

而且,我会再说一遍-安全不是功能-它是一种度量。没有100%安全的应用程序(或任何实际的应用程序)。安全性的假设是使破坏它的成本比其背后的成本更高-如果您的网站处理金钱-您需要更高的安全性-如果您处理礼品卡-即使不执行建议的操作,也可能会逃脱现实(是一个非常糟糕的主意,但仍然)。

PHP getallheaders替代 - php

我正在尝试从服务器上的apache切换到nginx。唯一的问题是我在PHP脚本中使用的getallheaders()函数,该函数不适用于Nginx。我已经尝试过用户在getallheaders函数上的php站点上提供的注释,但这并不返回所有请求标头。请告诉我如何解决这个问题。我真的想切换到Nginx。 参考方案 您仍然可以使用它,但是您必须像这里一样重新定义…

PHP:将字符串拆分为字母和数字部分的最佳方法 - php

我有几个格式的字符串AA11 AAAAAA1111111 AA1111111 分离字符串的字母和数字部分的最佳方法(最有效)? 参考方案 如果它们都是一系列字母,然后是一系列数字,并且没有非字母数字字符,那么sscanf()可能比regexp更有效$example = 'AAA11111'; list($alpha,$numeric) =…

php-casperjs获取内部文本 - php

我正在为casperjs使用php包装器-https://github.com/alwex/php-casperjs我正在网上自动化一些重复的工作,我需要访问一个项目的innerText,但是我尚不清楚如何从casperjs浏览器访问dom。我认为在js中我会var arr = document.querySelector('label.input…

PHP:从函数返回值并直接回显它? - php

这可能是一个愚蠢的问题,但是……的PHPfunction get_info() { $something = "test"; return $something; } html<div class="test"><?php echo get_info(); ?></div> 有没有办…

php:是否有充分的理由引用所有数组键/索引? - php

我正在遍历别人的代码,他们总是避免转义其数组键。例如:$ row_rsCatalogsItems [名称]代替$ row_rsCatalogsItems ['名称']因此,我不断地对自己接触的所有事物进行微小的更改,以应对这些惰性。但是现在我想知道这样做是否有很多好处。我得到它会在默认为字符串之前检查常量(我在处理常量时会讨厌php中的行为,因为即使未定义,…