資訊專欄INFORMATION COLUMN
摘要:一切輸入都是不可信的一切輸入都是不可信的一切輸入都是不可信的變量的處理程序中所有來的變量都是不可信的輸入的變量組成前都要用處理輸入的變量回顯在頁面或者存入數(shù)據(jù)庫錢都要用函數(shù)處對于傳入的整數(shù)或浮點數(shù)可以使用或處理關閉安全掌握到自己的手里數(shù)據(jù)加
一切輸入都是不可信的
一切輸入都是不可信的
一切輸入都是不可信的
變量的處理web 程序中所有 get post cookies update_files 來的變量都是不可信的
輸入的變量組成 mysql SQL 前都要用 mysql_real_escape_string() 處理
輸入的變量回顯在頁面或者存入數(shù)據(jù)庫錢都要用 htmlspecialchars() 函數(shù)處
對于傳入的整數(shù)或浮點數(shù)可以使用 intval() 或 floatval() 處理
關閉 magic_quotes_runtime 安全掌握到自己的手里 set_magic_quotes_runtime(false)
數(shù)據(jù)加密序列化 -> 加密 -> 解密 -> 反序列化
$userinfo = "信息"; //用戶信息
$secureKey = "密鑰"; //加密密鑰
$str = serialize($userinfo); //將用戶信息序列化
echo "用戶信息加密前:".$str;
$str = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $secureKey, $str, MCRYPT_MODE_ECB));
echo "用戶信息加密后:".$str;
//將加密后的用戶數(shù)據(jù)存儲到cookie中
setcookie("userinfo", $str);
//當需要使用時進行解密
$str = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $secureKey, base64_decode($str), MCRYPT_MODE_ECB);
$uinfo = unserialize($str);
echo "解密后的用戶信息:
";
var_dump($uinfo);
密碼加密
$password = "密碼"; $salt = substr(uniqid(rand()), -6); echo $salt . " "; $password = md5(md5($password).$salt); echo $password;
