입력 유효성 검증 :
사용자 입력을 신뢰하지 마십시오. 악의적 인 코드 주입을 방지하기 위해 항상 들어오는 모든 데이터를 항상 검증하고 소독하십시오. 클라이언트 측 유효성 검사 (예 : JavaScript)는 도움이되지만 불충분합니다. PHP의 서버 측 유효성 검사는 중요합니다 XSS (크로스 사이트 스크립팅) 보호 : 브라우저에 데이터를 표시하기 전에 를 사용하여 사용자 입력에서 HTML 태그를 제거하고 HTML 엔티티를 이스케이프하여 XSS 공격을 방지합니다. CSRF (크로스 사이트 요청 위조) 예방 :데이터를 수정하는 작업에 대한 사후 요청을 사용합니다 (그러한 작업에 대한 요청을 피하십시오). CSRF 토큰 (유자, 세션 별 토큰)을 구현하여 요청이 합법적 인 사용자로부터 발생하는지 확인하십시오. SQL 주입 예방 : 파라미터 화 된 쿼리 및 준비된 명령문 (PDO 사용)을 사용하여 공격자가 악의적 인 SQL 코드를 데이터베이스 쿼리에 주입하지 못하게합니다. 파일 시스템 보호 : 사용자가 제공 한 파일 이름을 기반으로 파일을 직접 제공하지 마십시오. 임의의 디렉토리에 대한 무단 액세스를 방지하기 위해 엄격한 액세스 컨트롤을 구현하십시오. 세션 데이터 보안 :
세션에서 직접 민감한 정보 (비밀번호, 신용 카드 세부 정보)를 저장하지 마십시오. 세션 데이터를 암호화하고 세션 지속에 대한 데이터베이스 사용을 고려하십시오.
strip_tags()
htmlentities() Q : 일반적인 웹 응용 프로그램 취약점이란 무엇입니까?
a : 매개 변수화 된 쿼리 또는 준비된 명령문을 사용하고 항상 사용자 입력을 검증하고 소독합니다. Q : XSS 란 무엇이며 어떻게 방지 할 수 있습니까? a : Q : 사용자 인증을 어떻게 확보합니까?
a : 강력한 비밀번호 정책, 다중 요소 인증, 보안 비밀번호 저장 (해싱 및 소금) 및 https.
Q : CSRF 란 무엇이며 어떻게 막을 수 있습니까?a : CSRF는 사용자에게 원치 않는 작업을 수행하도록 속입니다. 예방에는 CSRF 토큰과 쿠키 속성이 포함됩니다 Q : 민감한 데이터를 어떻게 보호합니까?
a :REST 및 TRANSIT시 데이터를 암호화하고 액세스 제어를 구현하고 응용 프로그램을 정기적으로 감사합니다. Q : 불안한 직접 개체 참조는 무엇입니까? a :
이는 응용 프로그램이 사용자 입력에 따라 객체에 직접 액세스 할 때 발생합니다. 예방에는 액세스 제어 점검 및 간접 참조가 포함됩니다Q : 안전한 의사 소통을 어떻게 보장합니까?
https와 hsts를 사용하십시오 Q : 웹 애플리케이션 보안을위한 모범 사례는 무엇입니까? a : 정기적 인 업데이트, 보안 코딩, 강력한 액세스 제어, 데이터 암호화 및 정기 보안 감사. Q : 보안 위협을 모니터링하려면 어떻게해야합니까?
a : 침입 탐지 시스템 사용, 응용 프로그램 감사, 로그 모니터 및 SIEM 시스템을 고려하십시오.
SameSite
위 내용은 PHP 마스터 | 웹 앱을 보호하기위한 8 가지 연습의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
