1eAder 一个热爱网络技术的少年
了解XSS与防范
发表于 2018-9-10 | | WEB安全

跨站脚本(XSS, Cross Site Script)攻击指的是,攻击者可以让某网站执行一段非法脚本。这种情况很常见,比如提交一个表单用于修改用户名,我们可以在文本框中输入一些特殊字符,比如 <, >, ', " 等,检查一下用户名是否正确修改了。

XSS 如何发生

XSS 一定是由用户的输入引起的,无论是提交表单、还是点击链接(参数)的...

阅读全文>>

PHP获取referer判断来路防止非法访问
发表于 2018-5-19 | | WEB安全

PHP获取referer判断来路防止非法访问


近期有个项目需要用到防止用户非法访问某json页面,基础解决方法就是判断来路来限制非调用访问:

$_SERVER[‘HTTP_REFERER’]:来路链接,可能带尾巴(如:http://www.90tec.com/iwork/20.html),可以通过php内置函数parse_url()来获取到当前网址(www.90tec.com),即: ...

阅读全文>>

禁止非ajax请求访问本页面
发表于 2018-5-19 | | WEB安全

禁止非ajax请求访问本页面


if ($_SERVER[‘HTTP_X_REQUESTED_WITH’] != ‘XMLHttpRequest’) {
$date[‘status’]=40001;
$date[‘msg’] = ‘非法请求’;
echo json_encode($date);
exit();
}

阅读全文>>

php安全篇值过滤用户输入的参数
发表于 2018-4-29 | | WEB安全

php安全篇值过滤用户输入的人参数

规则 1:绝不要信任外部数据或输入 
关于Web应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在PHP代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 
...

阅读全文>>

PHP mysql_real_escape_string() 函数
发表于 2018-4-29 | | WEB安全

PHP mysql_real_escape_string() 函数

定义和用法

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • \x00
  • \n
  • \r
  • \
  • '
  • "
  • \x1a

...

阅读全文>>

TOP