PPT中一些理念:
(1)深度防御。在进入前有多个安全边界,进入和出去一样严格管理。使用IDS来协防,不要过分依赖防火墙和包过滤。
(2)对系统和应用程序进行审计。
(3)进行全员安全培训。
一些安全技术:
(1) mysql中过滤:
$sql = sprintf(“SELECT something FROM table WHERE name=‘%s’ AND age>%d”, mysql_real_escape_string($foo), $bar)
(2)不要使用gpc_magic_quotes
(3)使用mysql_real_escape_string() 来过滤字符串
(2)不要使用gpc_magic_quotes
(3)使用mysql_real_escape_string() 来过滤字符串
(4)使用htmlentities()和ENT_QUOTES来过滤xss,例如
<?=htmlentities($foo,ENT_QUOTES);?>
一些资源:
Crucial Security - http://www.crucialsecurity.com
Google Hacking - http://johnny.ihackstuff.com
OWASP - http://www.owasp.org
Crucial Security - http://www.crucialsecurity.com
Google Hacking - http://johnny.ihackstuff.com
OWASP - http://www.owasp.org
