用户输入
解决方案:
过滤输入
转义输出
sql注入
解决方案:
使用pdo
xss
解决方案
转义输出(htmlpurifier)
csrf
解决方案
get请求不得修改应用状态,即get变post
session生成csrf_token,非表单放入cookie中,表单中放入form-input:hidden,利用浏览器同源规则限制其他页面获取,通过,非表单通过添加请求头部的X-CSRF-TOKEN(自定义属性)。
文件暴露
解决方案:
目录权限配置
调试,错误等信息以及工具
解决方案
关闭调试
移除工具
中间人mit
解决方案
使用https
header注入攻击
解决方案:
修复apache和nginx漏洞
