私はAPIを中心にphpとhtmlのコードを設計しました。
htmlコードを使用すると、ユーザーは評価のために特定の項目を入力できます。次に、アイテムはphpに投稿され、APIを介して実行されます。応答を取得し、phpページを吐き出します。
APIは十分に保護されていますが、PHPとHTMLの両方で、ページ内で問題が発生する可能性があるものがあるかどうか疑問に思っています。
有害な可能性のあるものを思い付くことができるかどうか教えてください。
質問する
412 次
3 に答える
1
まだ行っていない場合は、キャプチャ検証を使用してhtmlページを介してAPIの悪用から保護する必要があります。
于 2012-07-18T18:03:12.530 に答える
1
PHPがデータベースを使用してユーザーが投稿している情報を保存している場合は、インジェクション攻撃を防ぐためのセキュリティが必要であり、プリペアドステートメントとソルトハッシュを推奨します。
于 2012-07-18T18:07:07.910 に答える
1
私たちにも非常によく似た問題と懸念があります。私たちのウェブサイトには、数十のPHP'API'ファイルがあります。ユーザーが当サイトにログインすると、特定の_SESSION変数に一意の情報が設定されます。APIファイルでは、そのセッション変数をチェックし、設定されていない場合は、ログインページへのリダイレクトがあります。これにより、APIファイルを直接呼び出すことで行き過ぎを防ぐことができます。
また、PHPスクリプトディレクトリにはindex.phpがあり、ディレクトリがなくても何らかの形で表示できる場合に備えてリダイレクトも行います。
さらに、SQLインジェクション攻撃を防ぐために、すべての_POST変数と_GET変数を確実にサニタイズします。PHP用のmysqlクライアントには、この点で引数をサニタイズするのに役立つ関数(名前は私をエスケープします)があります。
これはいくつかの提案です。お役に立てれば。
于 2012-07-18T18:09:25.397 に答える