話すのJava、C ++、C#の、Pythonや他の言語に関しては、PHPは、モールの面で大きな利点があり、高効率、マルチフレーム選択の開発があり、あなたは、オープンソース製品などを選択することができます大幅に開発コストを削減し、製品の反復をスピードアップすることができ、たとえば、オープンソースのフレームワークThinkphpモールDSMall、DSHOP、DSKMSの開発に基づいており、すぐにライン上のプロジェクト、Thinkphpフレームワークを直接アップグレードすることができますがようにように、このような製品の開発に基づいて大幅に、開発をスピードアップすることができます。
通常の状況下で、我々は独自の開発の過程にある、PHPの知識の安全面に注意を払う必要が、以下は、最も一般的なセキュリティ上の問題について言います。
1.SQLインジェクション
SQLインジェクションは、データベースが*** SQLインジェクションの脆弱性であるならば、あなたは、データベース全体を取得することができ、一般的なウェブサイトへの最大の脅威の一つです。
現在主流の2つのソリューションがあります。ユーザ入力データまたはステートメントを使用してパッケージ脱出。典型的には、ユーザによって送信されたデータをフィルタリングするために使用される関数と一緒にパッケージ。
2.XSS
また、CSS(クロスサイトスクリプト)として知られているXSS、クロスサイトスクリプティング***。特定の目的***悪意のあるユーザーを達成するためには、ページを閲覧したユーザは、htmlコード内に埋め込まれたWebが実行される悪質なHTMLコードを挿入し、悪質なWebページ***を指します。
正しいアプローチは、ユーザからの入力を信頼し、入力中のすべての特殊文字をフィルタリングしないと判定されました。これは*** XSSのほとんどを除去することができます
3.XSRF / CSRF CSRF
それは誰のサイトを訪問するユーザーをだましするためにいくつかの技術的手段を通って、いくつかの操作を実行するために認定されたら***です。
ページでは、フォームを構築するたびに、トークントークンは、フォームで隠しフィールドに配置されますときに最も一般的な防衛は、トークン内のトークンよりも、一般にトークンと呼ば暗号化された安全な文字列CSRFトークンを生成するセッションですはい、検証は唯一与えることに成功しています。
如果在这些TP框架中的开源商城系统中进行二次开发,您这边需要注意的应该有以下几点。1.アプリケーションディレクトリにリソースファイルを入れていない、ディレクトリへのアクセスのみなどの外部のパブリックディレクトリを設定します。
2.開き提出されたデータの重複を避けるために、フォームトークンの検証を、CSRFは、防御的な役割を再生することができ、
変数を要求3.取得方法が提供するフレームワークを使用します(リクエストクラスPARAM方法及び入力ヘルパー関数)ネイティブシステム変数は、ユーザ入力データを取得する代わりに、
フィルタリングルールdefault_filter提供される異なるアプリケーションの要件4.(全くフィルタリング規則をデフォルト)、共通のセキュリティ・フィルタ関数はにhtmlentities、はhtmlspecialchars、にstripslashesを含みますstrip_tagsなど、サービスシナリオに応じてフィルタリングの最も適切な方法を選択し、
検証のクラスを使用してに記載の方法又はサービスデータ検証ルールの必要な認証を設定します。