目 录
1 PHP接口安全 4
1.1 指定公布给外部的资源,客户端只能访问允许访问的资源 4
1.1.1 说明 4
1.1.2 应对 4
1.1.3 举例 4
1.2 定义所有接口的参数,并做严格的检查 5
1.2.1 说明 5
1.2.2 应对 5
1.2.3 举例 5
1.3 不能让客户端看到任何不友好的错误信息 5
1.3.1 说明 5
1.3.2 应对 5
1.3.3 举例 5
二、PHP编码安全 6
2.1 POST/GET参数传值/字符串输入/数据入库等严格的危险字符过滤处理 6
2.1.1 说明 6
2.2.2 应对 6
2.2.3 举例 6
2.2 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理 8
2.2.1 说明 8
2.2.2 应对 8
2.2.3 举例 8
2.3 敏感信息(如PASSWORD/银行帐号等)不要依赖COOKIE,SESSION,最好读表,并尽量缓存读表数据 8
2.3.1 说明 8
2.3.2 应对 9
2.3.3 举例 9
2.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露 10
2.4.1 说明 10
2.4.2 应对 10
2.4.3 举例 10
2.5 屏蔽或定制化出错信息 10
2.5.1 说明 10
2.5.2 应对 11
2.5.3 举例 11
2.6 数据库的读取等操作、POST/GET传值需要做频率限制与Token校验 11
2.6.1 说明 11
2.6.2 应对 11
2.6.3 举例 11
2.7 有类似文件下载/或文本流下载等功能的,尽量避免使用URL直接调用目标文件地址的方式 12
2.7.1 说明 12
2.7.2 应对 12
2.7.3 举例 12
2.8 MYSQL 的用户最好分开,不要用ROOT用户来连接MYSQL 13
2.8.1 说明 13
2.8.2 应对 13
2.8.3 举例 13
3 参考内容 13
2022-04-07 21:33:27
373KB
安全编码规范
1