A linguagem de script PHP é geralmente uma linguagem de programação muito seguro, principalmente porque ele não sofre de ataques de estouro de buffer, como a língua não se baseia na memória . Há, no entanto , falhas de segurança e os perigos escondidos com o idioma. Devido à simplicidade da linguagem, alguns programadores podem acidentalmente deixar vulnerabilidades no código. Ao usar os campos de entrada em PHP , existem certas coisas que você deve olhar para fora. Cross Site Scripting
Cross Site Scripting ou XSS é onde você conteúdo de entrada para o seu script PHP , como um Javascript. XSS é muito útil , por exemplo, se você estivesse reunindo notícias em uma página web. No entanto, se você tem um script que permite aos usuários escolher um número de página , e em vez inserir um script para um código externo , então o XSS vai levar a falhas de segurança. Adicionar um " strip_tags () " em seu PHP para remover a entrada HTML.
SQL Injection
SQL Injection permite falhas de segurança em seu banco de dados. Em um formulário de login do usuário , por exemplo, se você usar um básico " password = '$ senha' " script, em seguida, o hacker pode entrar " 'OR 1 = 1 " no campo de senha e login no banco de dados. Isto significa que o hacker pode entrar em qualquer conta ele sabe o nome de usuário . Insira o " mysql_real_escape_string ()" para impedir que isso aconteça .
Falsificado Input Form
Tal como acontece com SQL Injection, se você tiver qualquer tipo de formar , como um "input" ou " textarea ", então um hacker pode usar estes somente leitura elementos para emitir comandos SQL e instruções para o seu script. Corrigir o que você faria com a injeção de SQL se ele usa consultas SQL para o banco de dados principal.
File Upload
Se você deseja oferecer uma caixa de entrada de upload de arquivos em seu website , isso representa uma entrada potencialmente grande perigo. Há duas coisas a fazer para corrigir esse problema . Em primeiro lugar, especificar o tipo de mime para os arquivos que você quer carregado , por exemplo, adicionar " image /png " e " image /gif" para a marca de $ validMimes para reduzir os tipos de arquivo a esses mimos . Após o tipo de mímica, para adicionar segurança extra " => ' . Png' ", após a tag png , para garantir que o tipo mime coincide com a extensão de arquivo .
< Br >