php基礎以及常見的漏洞和簡單防範。

php常見的一些攻擊和安全防範：

1，Xss+sql注入：

    能夠對能輸入的進行xss防範：

$_REQUEST=filter_xss($_REQUEST);
$_GET=filter_xss($_GET);
$_POST,$_COOKIE,

SQL注入：

filter_sql();

最簡單的xss函數就是htmlspecialchars；

最簡單sql函數就是mysql_real_escape_string();

2,命令執行

    php代碼的執行，若是eval

    shell命令的執行 exec

    文件處理，fopen，fwirte等

3，上傳漏洞

    最保險的方式就是隨機命名，和文件後綴白名單，通常不要給予執行權限。

4，文件包含函數

    好比include_once,require(),require_once(),還有些漏洞出現中文件下載，好比down.php?file=/../../..etc/passwd,直接下載服務器配置文件。

5，權限的繞過

    a,後臺文件未受權訪問，最多見的是session驗證碼

    b,爲做用戶隔離，例如：mail.php?id=23顯示了你的信件，那麼id=24就能查看別人的信件。

6，信息泄露

    這類的都算比較低的漏洞，好比文件路徑暴露，源代碼暴露等。

   通常關閉錯誤提示，error_reporting(0);,放在公共的配置文件下。

固然還有不少不少的漏洞，好比cookie僞造，跨域等等。