phpweb网站开发安全

    以前看过一道很简单的面试题，大概意思是从：http://www.phpstar.cn/?category=php中获取获取参数category的值。题目很简单相信写过php的人都能把category的值得出来，比如$_GET['category']这样写的人比比皆是，这样写不能说不能取到值，只是没有经过安全性的处理。

    下面说一说php的安全的例子：

    1.include的使用。

   其中的$action变量可能是从外边get方式的来的，这样看貌似是没有问题，但是如果$action = ‘http://www.baidu.com/error’呢？所以这里要加一个判断：要引入的文件是不是存在

     2.跨站运行脚本xss：比如一个评论框中用户输入

     如果程序没有做什么处理直接显示的话，想想会有什么事情发生？一个弹窗就显示在用户的眼前“IT博客！”。

    3.SQL注入

     username = '{$username}' AND passw = '{$passw}'";  
    $result = mysql_query($sql);  
?>  
		

			

		
		

			     假如说$username获取过来的值是：admin ‘ or ’1 = 1，$passw 亦是如此:passw ‘ or ’1 = 1，以上的sql会变成
		
		

			

		
 
		

			

		
     减少这样的不安全编程的方法很简单：对从用户端传过来的数据进行处理数字用intval，字符串用htmlspecialhtmlspecialchars