Maison >développement back-end >Problème PHP >À quoi devez-vous faire attention lors du développement d'un micro-centre commercial en PHP ?

À quoi devez-vous faire attention lors du développement d'un micro-centre commercial en PHP ?

王林
王林original
2019-09-26 17:40:073692parcourir

À quoi devez-vous faire attention lors du développement d'un micro-centre commercial en PHP ?

Notes sur le développement de micro-centres commerciaux avec PHP

Par rapport à Java, C++, C#, Python et d'autres langages, PHP présente plus d'avantages dans Les plus grands avantages sont une efficacité de développement élevée, de nombreux choix de frameworks et de nombreux produits open source parmi lesquels choisir, ce qui peut réduire considérablement les coûts de développement et accélérer l'itération des produits, tels que les centres commerciaux open source DSMall, DSHOP, DSKMS, etc. développé sur la base du framework Thinkphp. Sur la base de ce développement de produits, le développement peut être considérablement accéléré et la mise en ligne rapide des projets, tandis que le framework Thinkphp peut être directement mis à niveau.

De manière générale, nous devons prêter attention aux connaissances en matière de sécurité PHP lors de notre propre processus de développement. Voici quelques problèmes de sécurité courants.

1. Injection SQL

L'injection SQL est l'une des plus grandes menaces pour les sites Web courants. Si la base de données est attaquée par injection SQL, toutes vos bases de données peuvent être obtenues. Il existe actuellement deux solutions principales. Échapper aux données saisies par l'utilisateur ou utiliser des instructions encapsulées. Généralement, une fonction encapsulée est utilisée pour filtrer les données soumises par l'utilisateur.

2.XSS

XSS est également appelé CSS (Cross Site Script), une attaque de script intersite. Il s'agit d'un attaquant malveillant qui insère du code HTML malveillant dans une page Web. Lorsqu'un utilisateur parcourt la page, le code HTML intégré dans le Web sera exécuté, atteignant ainsi l'objectif particulier d'attaquer l'utilisateur de manière malveillante.

L'approche correcte consiste à ne faire absolument confiance à aucune entrée de l'utilisateur et à filtrer tous les caractères spéciaux de l'entrée. Cela éliminera la plupart des attaques XSS.

3. La méthode de défense la plus couramment utilisée consiste à générer une chaîne sécurisée cryptée par jeton CSRF, généralement appelée jeton. Chaque fois que vous créez un formulaire sur une page Web, placez le jeton de jeton dans un champ masqué du formulaire. est meilleur que Oui, il ne sera réussi que si la vérification réussit.

Si vous effectuez un développement secondaire dans le système de centre commercial open source dans ces frameworks TP, vous devez faire attention aux points suivants :

1 Définir public Le répertoire. est le seul répertoire accessible de l'extérieur. Ne placez pas les fichiers de ressources dans le répertoire de l'application

2. Activez la vérification du jeton de formulaire pour éviter la soumission répétée de données, qui peut jouer un rôle dans la défense CSRF ; 🎜>3. Utilisez la méthode d'acquisition de variables de requête fournie par le framework (méthode de paramètre de classe Request et fonction d'aide à la saisie) au lieu des variables système natives pour obtenir les données d'entrée utilisateur

4. (il n'y a pas de filtrage par défaut) Règles), les fonctions de filtrage de sécurité courantes incluent les stripslashes, les htmlentities, les

htmlspecialchars et strip_tags, etc. Veuillez choisir la méthode de filtrage la plus appropriée en fonction du scénario commercial

5. Utilisez des classes de vérification ou des méthodes de vérification pour définir les règles de validation nécessaires pour les données commerciales

Tutoriel recommandé :

Tutoriel vidéo PHP

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn