Le langage de script PHP est généralement un langage de programmation très sûr , surtout parce qu'il ne souffre pas d' attaques de type buffer overflow , que la langue n'est pas fondée dans la mémoire . Il ya, cependant , des failles de sécurité et les dangers cachés avec la langue . En raison de la simplicité de la langue , certains codeurs peuvent accidentellement laisser vulnérabilités dans le code. Lorsque vous utilisez les champs de saisie en PHP , il ya certaines choses que vous devriez regarder dehors pour . Cross Site Scripting Cross Site Scripting ou XSS est l'endroit où vous content d'entrée à votre script PHP , comme un Javascript. XSS est très utile, par exemple , si vous rassemblez des articles d'actualité dans une page web . Pourtant, si vous avez un script qui permet aux utilisateurs de choisir un numéro de page, et ils insérez à la place d'un script à un code externe, puis le XSS mènera à des failles de sécurité . Ajouter un " strip_tags ()" dans votre PHP pour supprimer l'entrée HTML. SQL Injection Injection SQL permet de failles de sécurité dans votre base de données. Dans une forme de connexion de l'utilisateur , par exemple, si vous utilisez un « password = '$ password' " base de script, puis le pirate peut entrer " 'OR 1 = 1" dans le champ de mot de passe , et se connecter à la base de données . Cela signifie que le pirate peut entrer n'importe quel compte il connaît le nom d'utilisateur . Insérez le « mysql_real_escape_string ()" pour empêcher ce phénomène . Usurpée formulaire d'entrée par injection SQL , si vous avez n'importe quel type d' former comme une " entrée " ou " textarea ", puis un pirate peut utiliser ces éléments en lecture seule à émettre des commandes et des instructions SQL dans votre script. Résoudre ce que vous feriez avec injection SQL si elle utilise des requêtes SQL à la base de données principale . File Upload Si vous voulez offrir un téléchargement de fichier boîte de saisie sur votre site web , cela pose un danger potentiellement important d'entrée. Il ya deux choses à faire pour résoudre ce problème. Tout d'abord, préciser le type MIME pour les fichiers que vous souhaitez téléchargées , par exemple , ajouter "image /png" et "image /gif " à la balise validMimes dollars pour réduire les types de fichiers à ces mimes. Après le type mime , pour plus de sécurité ajouter "=> " . Png ' "après le tag png, afin de s'assurer que le type MIME correspond à l'extension de fichier. < Br >
|