因此,我网站的成员可以发布主题,回复,评论,对其进行编辑等。我总是将htmlspecialchars和addslashes用于html输入,以保护我的网站免受XSS和SQL注入(inject)攻击。够了还是我想念的更多东西?
谢谢。
最佳答案
Web应用程序可能会出错。除了XSS和SQLi,还有:
include(),require() ... mail()中的register_globals,extract(),import_request_variables() fopen(),file_get_contents(),file_put_conents() eval()或preg_replace()和/e进行远程代码执行passthru(),exec(),system()和``关于Broken Authentication and Session Management有一整套漏洞,这是每个Web应用程序程序员必须阅读的OWASP Top 10的一部分。
A Study In Scarlet是一个很好的黑皮书,它涵盖了我列出的许多漏洞。
但是,Wordpress中也存在类似这样的奇怪漏洞。关于漏洞的绝对权威是CWE system,它对漏洞的 HUNDREDS 进行分类,其中许多漏洞都可能影响Web应用程序。