Recordar que la seguridad del PHP es una cosa ACODADA. Hay nadie solo arreglo que gira seguridad y las cerraduras él abajo firmemente.
Las sesiones son generalmente seguras a menos que usted deje un agujero a otra parte. Los ataques de XSS trabajan en el PHP cuando usted deja Javascript conseguir fijado en un campo de la entrada del HTML tan esto
…
eco $_POST [“chillidos”];
es inseguro porque podría entrar mientras que esto
…
strip_tags del eco ($_POST [“chillidos”
]);
es más seguro porque elimina Javascript del flujo de entradas. El PHP puede le mordió en el vago de maneras asombrosamente, por ejemplo el arsenal entero de $_SERVER es inyectable por Javascript y $_REQUEST se manipula fácilmente también. Tan nunca, hacer nunca
$aaa = $_SERVER [“PHP_SELF”];
siempre
$aaa = strip_tags ($_SERVER [“PHP_SELF
”]);
También, leer para arriba en los mecanismos del FILTRO en PHP 5.2+
http://www.php.net/filter_var
