开发PHP商城要注意的一些常见安全问题

相对于Java,C++,C#,Python等语言来说, PHP 在 商城方面有更大的优势,有开发效率高,框架选择多,可选择的开源产品多,可以大大减少开发成本和加快产品迭代,比如基于Thinkphp框架开发出的开源商城DSMall,DSHOP,DSKMS等等,基于此类产品开发可以大大加快开发速度,让项目迅速上线,同时Thinkphp框架可直接升级。

一般情况下我们在自己开发的过程中,需要注意PHP安全方面的知识,以下就说一下常见安全问题。

1.SQL 注入
SQL 注入是常见网站最大的威胁之一,如果数据库受到SQL 注入的***,那么可以获取你全部的数据库。
当前主流的解决方法有两种。转义用户输入的数据或者使用封装好的语句。一般用一个封装好的函数,用来对用户提交的数据进行过滤。
2.XSS
XSS 又叫 CSS (Cross Site Script) ,跨站脚本***。它指的是恶意***者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意***用户的特殊目的。
正确的做法是坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的 XSS ***

3.XSRF/CSRF 跨站请求伪造
它是***者通过一些技术手段欺骗用户去访问曾经认证过的网站并运行一些操作。
最常用的防御方法是生成一个 CSRF 令牌加密安全字符串,一般称其为 Token,每次你在网页构造表单时,将 Token 令牌放在表单中的隐藏字段, Session 里的 Token 令牌比对,校验成功才给予通过。

如果在这些TP框架中的开源商城系统中进行二次开发,您这边需要注意的应该有以下几点。

1.设置public目录为唯一对外访问目录,不要把资源文件放入应用目录;
2.开启表单令牌验证避免数据的重复提交,能起到CSRF防御作用;
3.使用框架提供的请求变量获取方法(Request类param方法及input助手函数)而不是原生系统变量获取用户输入数据;
4.对不同的应用需求设置default_filter过滤规则(默认没有任何过滤规则),常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等,请根据业务场景选择最合适的过滤方法;
5.使用验证类或者验证方法对业务数据设置必要的验证规则;

原文地址:https://blog.51cto.com/13938514/2405124

时间: 2024-10-28 08:05:19

开发PHP商城要注意的一些常见安全问题的相关文章

MVC模式开发图书商城项目分析

MVC模式开发图书商城项目分析 1. 功能分析 1.用户注册 2.用户登录 3.添加商品(CURD) 4.商品查看-- 列表查询 5.商品详情页面 6.将商品添加购物车 7.查看购物车 8.修改购物车 9.生成订单 10.订单查看(取消) 11.在线支付 12.下载销售榜单 游客(未登录): 注册.登陆.商品查看 商城注册用户 : 商品查看.添加商品到购物车.购物车管理.生成订单.订单管理.在线支付 管理员 : 添加商品.商品管理.查看订单 .榜单查看(导出) 2. 系统设计 1技术选型 (系统

大熊商城系统开发大熊商城挖矿开发

加密货币的钱包其实是一串数字.这串数字很长,比平时用的密码要长很多倍.很难直接把它记在脑中,所以一般保存在一个文件中.这个文件经常以某某wallet来命名.拥有了这个文件,就拥有了对应的加密资产.所以记得好好保存这个文件.如果丢失了,对应的加密资产也就丢失了. 从实质上说,大熊商城是"区块链+电商"的结合体,与传统电商平台不同之处是,大熊商城除了传统的人民币价值体系之外,还引入了新的价值体系--"大熊糖果(BearCandy)".糖果的设计及发放,都是基于区块链及通

asp.net MVC 常见安全问题及解决方案

asp.net MVC 常见安全问题及解决方案 一.CSRF (Cross-site request forgery跨站请求伪造,也被称为"one click attack"或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用) 详细说明: http://imroot.diandian.com/post/2010-11-21/40031442584 Example :            在登陆状态下进入了攻击网站向安全站点发送了请求. Solut

编写SQL时PHP开发人员所犯的5个常见错误

本文和大家分享的主要是编写SQL时PHP开发人员常犯的一些错误,一起来看看吧,希望对大家学习php有所帮助. 杜绝使用MySQL API的旧版本 使用PHP开发时有好几种方法可以连接MySQL数据库.最常见的是MySQL API.MySQLi API和PDO API(PHP数据对象).与MySQL API旧版本相比,后面两种方法支持更多的功能,并且更加安全.如果你使用的是旧的"mysql_"函数,那么你应该马上放下手上的工作,然后开始学习新的PDO API.这些旧的 mysql函数被弃

开发微信商城,该怎么做?

============问题描述============ 开发一个微信商城,可下订单,支付,该怎么做?步骤是怎么样的?  要注意些什么? ============解决方案1============ 语言不是重点,不过PHP很适合这个项目.我做过一个简单的,能够用微信搜索我的商城里的商品.输入部分用微信的接口很简单,用户输入"搜男装",我这边正则匹配搜*得出男装,往商城的搜索接口里一送,结果发回去就完事了.关键在与商城的搭建,如果你没有自己的商城程序的话,自己实现一个也并非难事.因为微信

一九爱心开发系统商城模式

一九爱心公益系统开发,一九爱心公益模式开发找(英华:138-0284-9410)微电同号QQ3182291817,一九爱心模式开发平台,一九爱心商城开发系统,一九爱心app软件开发,一九爱心平台软件开发. 互联网与整个社会的结合也正在逐步从触达个体向产业深处渗透,走向下一个里程碑式的时代.<2017互联网发展趋势报告>显示,互联网的发展正在从消费领域持续向生产领域拓展,在以互联网为代表的信息技术驱动下,全球生产力正在经历又一次质的飞跃. 一九爱心公益系统模式介绍: 静态收益(市场奖励) 1.充

iOS开发UI篇章 15-项目中的常见文件

iOS开发UI篇-常见的项目文件介绍 一.项目文件结构示意图 二.文件介绍 1.products目录:主要用于mac电脑开发的可运行文件.ios开发用不到这个文件 2.frameworks目录主要用来放依赖的框架 3.test目录是用来做单元測试的 4.经常使用的目录(项目名称目录) (1)XXXinfo.plist文件(在该项目中为 01-常见文件-Info.plist) 1)简单说明 是配置文件.该文件对project做一些执行期的配置,很重要.不能删除. 在旧版本号xcode创建的proj

易商城系统模式开发易商城系统模式详解

易商城系统开发(李想.185.6504.8478)商业兴起于先商时期的商国,形成初期是以物换物的方式进行的社会活动.后来发展成为以货币为媒介进行交换从而实现商品流通的经济活动.现代的商业分为线下以及线上两种,极大提高了贸易的效率.以买卖方式使商品流通的经济活动.小编来给大家介绍一下易商城系统的具体细节: 易商城,一个新兴的商业模式(模式简介) 股权部分: 100元/股(每人只能投资一股,后期可用股权部分产生的收益进行复投) 1.静态分红: 每日返10元,返到150出局1股. 每位会员只能投入1股

O2O商城系统开发O2O商城系统模式详解

O2O商城网站系统开发(李想.185.6504.8478)O2O商城系统是什么?O2O商城系统有什么用?我为什么要买O2O商城系统?O2O商城系统到底能给我解决什么问题?如果你想了解具体,那么就请跟随小编了解O2O商城系统!O2O并未颠覆传统企业,其实O2O模式并没有真正意义上的颠覆,而是行业升级.O2O的核心使命是把传统企业原来落后.固有的商业手段和作业手段进行信息化的武装,全面地提升行业信息化水平.从这个意义上讲O2O做的不是电子商务,而是商务电子化.虽然传统的商业模式存在已久,已经在人们心