{
$access = true;
}
如果运行期间, register_globals 被设置为 ON
,那么用户只需要传输 access=1 在一句查
询字符串中就能获取到 PHP
脚本运行 的任何东西了。
在.htaccess 中停用全局变量
php_flag register_globals 0
在 php.ini 中停用全局变量
register_globals = Off
停 用 类 似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase 这 些 Magic
Quotes
在.htaccess 文件中设置
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0
在 php.ini 中设置
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
技巧 3
:验证用户输入 你当然也可以验证用户的输入,首先必须知道你期望用户输
入的数据类型。 这样就能在浏览器端做好防御用户恶意攻击你的准备。
技巧 4
:避免用户进行交叉站点脚本攻击 在 Web
应用中,都是简单地接受用 户输入
表单然后反馈结果。在接受用户输入时,如果允许 HTML 格式输入将是非常危险的事情,
因为这也就允许了 JavaScript
以不可预料的 方式侵入后直接执行。哪怕只要有一个这样漏
洞,cookie 数据都可能被盗取进而导致用户的账户被盗取。
技巧 5:预防 SQL
注入攻击 PHP 基本没有提供任何工具来保护你的数据库,所以当
你连接数据库时,你可以使用下面这个 mysqli_real_escape_string 函数。
$username = mysqli_real_escape_string( $GET['username'] );