Ricordar che la sicurezza del PHP è una cosa STRATIFICATA. Ci è nessuna singola difficoltà che accende la sicurezza e le serrature esso giù fortemente.
Le sessioni sono generalmente sicure a meno che lasciate un foro altrove. Gli attacchi di XSS funzionano nel PHP quando lasciate il Javascript ottenere inviato in un campo dell'input del HTML così questo
…
eco $_POST [“urla„];
è insicuro perché potrei entrare mentre questo
…
strip_tags di eco ($_POST [“urla„
]);
è più sicuro perché elimina il Javascript dal flusso di input. Il PHP può lo ha morso sulle sedere nei sensi sorprendenti, per esempio l'intero allineamento di $_SERVER è iniettabile dal Javascript e $_REQUEST è maneggiato facilmente pure. Così mai, fare mai
$aaa = $_SERVER [“PHP_SELF„];
sempre
$aaa = strip_tags ($_SERVER [“PHP_SELF
„]);
Inoltre, leggere in su sui meccanismi del FILTRO nel PHP 5.2+
http://www.php.net/filter_var
