PHP安全清单
该作品。 它是根据。
基本的
使用强密码,请确保您的“密码恢复问题”不太明显。 如果写下密码,请确保将其放在安全的地方。
确保已禁用 ,因为这样可以将任意变量注入脚本的环境(!)。
禁用魔术引号。 它对安全性没有影响,但是使人们认为它实际上可以帮助保护应用程序免受SQL注入,因此人们依靠它进行转义(非常错误!)。 两个相关PHP设置是和 。
在生产环境上禁用 ,使学习环境细节变得更加困难。 但是,您应该继续记录错误。
不要忘记服务器的物理安全性。 确保您在安全的数据中心中(提示:有些严重不安全)。
用户输入和未上传的内容:
请注意,您可以从诸如telnet之类的简单对象发起请求,这意味着可以伪造所有传入的数据。
这意味着$ _GET,$ _ POST,$ _ COOKIE和$ _REQUEST中的所有内容都可以包含任何值。
$ _SERVER和$ _ENV有
