記事ディレクトリ
1.SQLインジェクション
PDO (php データ オブジェクト) 防御テクノロジは、SQL インジェクションを効果的に防ぐことができます。
このテクノロジは、データベースを操作するための PDO オブジェクトを作成し
、prepare メソッドでプリコンパイルすることで、コードをデータから分離し、入力を SQL ステートメントに直接挿入しません。 。
2、XSS
htmlspecialchars() 関数を使用して、'&'、'''、'"'、'<'、'>'、およびその他の記号を HTML エンティティとして定義し、命令要素としての
入力の 16 進数および URL エンコード処理を防止します。
3.CSRF
リファラー フィールドを追加する
トークン フィールド
を追加する たとえば、パスワードを変更する場合は、新しいパスワードを含めるだけでなく、パスワード フィールドを確認し、元のパスワード フィールドを追加する必要があります。これにより、セキュリティも向上します。
4. ファイルのアップロード
アップロードされたファイルの名前を変更し
ます ファイルのアップロード パスを表示しません
画像をリセットします。悪意のあるスクリプトは消去されます
5、ファイルには次の内容が含まれます
ホワイトリストを使用して、含まれるファイルの名前を制限し、ファイル名を指定し、他のファイルが含まれないようにします
http、https、file などのフィルタ プロトコル
6. コマンドの実行
ホワイト リストを使用して入力を制限する
例: ping ステートメントでは、4 つの文字から 4 つの数字などを制限する必要があります。
「||」、「|」、「&」、「&&」、「;」などの文字をフィルタリングして除外します。
7. ブルートフォースクラッキング
最大回数の設定、ユーザーのロック
、アクセス頻度の制限、
トークン値の設定によりブラストの難易度を上げることも可能
8.SSRF
アドレス フィルタリングを適切に実行し、ホワイトリストを設定してアドレスへのアクセスを制限することもできます。
「http」、「https」、プロトコル アクセスのみを制限し、「file」、「dict」、「gopher」などのプロトコルを制限します。 '
要約する
このドキュメントは、一般的に共通する脆弱性に対するより効果的な防御方法を簡潔に説明したものであり、今後も継続的に更新されますが、より詳細な内容については、ご自身でご確認ください。