- 跨站攻击,对输入view的变量进行过滤,不要含html内容的用 htmlspecialchars, 需要包含html代码的过滤使用tidy扩展或使用htmlpurifier组件
- 跨站请求伪造攻击(CSRF), 一般使用 session tocken处理,但只能对一般攻击者有效,重要的是做好用户发布验证
- sql注入,过滤参数,或使用mysqli_real_escape_string或类似函数过渡字段值
- session安全,session_id基于cookie存储,针对session_id做更多验证(比如ip, 浏览器特性等)
- 爆力密码破解,在应用层记录连续错误次数,常用登录ip, 设置验证码,非明文密码,回答常设问题等方式处理
- 伪造header信息,比如ip, 过滤header信息, web服务器重置相关header信息
- 重定向攻击,一些用于跳转的url, 比如广告连接跳转 ad_jump.php?url=xxx, 对跳转地址进行合法判断,或加密,或短地址
- 上传漏洞,检查上传权限,进行身份判断,判断文件类型,对上传目录禁止执行动态脚本