php代码安全吗？

Question

如果有人能为php编码提供安全的技术建议呢？如何让你的php代码更安全？

谢谢

Answer 1

从不信任用户，每个项目都有明确定义的数据流，来自用户的输入尽可能快地被清理(最好是在任何输出机会之前)。

总是使用某种形式的PDO。(换句话说，永远不要使用原始SQL)。在尝试快速修复错误时，错误有一种潜入的习惯。

永远不要在includes中使用变量。这似乎是一个简单的解决方案，但它通常是一个混乱的解决方案，允许用户请求他们不应该请求的文件。

Salt](http://en.wikipedia.org/wiki/Salt_(cryptography%29%29)使用唯一的盐对所有密码进行散列，md5()不是一个理想的函数，因为它有弱点。

Answer 2

这是一个很好的问题，已经回答过几次了。

Where to begin

Books and Resources

More resources

Answer 3

遵循以下关键点：

• 所有来自客户端的数据都可以修改，输入应该在您对其执行任何操作(插入到数据库等)之前进行杀毒/检查。
• 任何安全相关的算法都应该在服务器端实现，这确保了算法每次都以您希望的方式执行(与可修改的
• 散列或任何其他形式的加密或散列相反，应该在您的脚本中完成，而不是通过其他客户端/服务器请求完成(例如:在将密码散列发送到mysql do 'INSERT into users VALUES('1'，'jblow'，Md5(‘

’)‘，因为此查询可在日志中查看，并且可由SQL server

• 的管理员查看。最后但并非最不重要的一点是，如果清理输入的时间稍长一些，请执行此操作，所需的全部操作就是利用一个漏洞，而您的应用程序无论多么惊人，都会失去很多用户基础。