我围绕 API 设计了 php 和 html 代码。
html 代码允许用户键入特定项目以进行评估。然后将该项目发布到 php 并通过 API 运行。它得到响应并吐出一个 php 页面。
API 得到了很好的保护,但我想知道我的页面中是否有任何可能出错的地方,包括 PHP 和 html。
如果你能想出任何可能有害的东西,请告诉我。
问问题
412 次
3 回答
1
我们有一个非常相似的问题和担忧。在我们的网站上,我们有几十个 PHP 'API' 文件。当用户登录我们的站点时,会使用唯一信息设置特定的 _SESSION 变量。在 API 文件中,我们检查该会话变量,如果未设置,则会重定向到登录页面。这应该可以防止直接调用 API 文件而走得太远。
此外,在 PHP 脚本目录中有一个 index.php,它还会进行重定向,以防万一该目录在没有它的情况下以某种方式可见。
此外,我们确保清理每个 _POST 和 _GET 变量以防止 SQL 注入攻击。PHP 的 mysql 客户端有一个函数(这个名字让我忘记了),这将有助于清理这方面的参数。
这是几个建议。希望这可以帮助。
于 2012-07-18T18:09:25.397 回答
1
如果你的 php 使用数据库来存储用户发布的信息,那么你需要有一些安全措施来防止注入攻击,推荐准备好的语句和加盐哈希。
于 2012-07-18T18:07:07.910 回答
1
如果您还没有这样做,您需要通过在其上使用Captcha验证的 html 页面来防止 API 滥用。
于 2012-07-18T18:03:12.530 回答