版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/QinDaBao_/article/details/91540368
- 查询条件尽量使用数组方式,这是更为安全的方式;
- 如果不得已必须使用字符串查询条件,使用预处理机制(3.1版本新增特性);
- 开启数据字段类型验证,可以对数值数据类型做强制转换;(3.1版本开始已经强制进行字段类型验证了)
- 使用自动验证和自动完成机制进行针对应用的自定;
- 对所有公共的操作方法做必要的安全检查,防止用户通过URL直接调用;
- 不要缓存需要用户认证的页面;
- 对用户的上传文件,做必要的安全检查,例如上传路径和非法格式;
- 富文本过滤;
- 对于项目进行充分的测试,不要生成业务逻辑的安全隐患(这可能是最大的安全问题);
- 最后一点,做好服务器的安全防护,安全问题的关键其实是你的最薄弱的环节;