对于内部使用的PHP站点(没有框架),PDO+;htaccess是否足以防止大多数攻击?
我希望这个问题不要太愚蠢。我是PHP新手,对设计一个供内部员工使用的系统感兴趣。(因此所有用户都是可信的——他们的任何输入都将通过PDO) 不过,该系统将托管在互联网上 简单地使用PDO、.htaccess(限制目录访问)和在登录失败时重定向用户(这样没有帐户的用户就无法访问登录页面以外的任何页面,从而限制攻击者基于输入的SQL注入。)是否足以使站点在线托管对于内部使用的PHP站点(没有框架),PDO+;htaccess是否足以防止大多数攻击?,php,.htaccess,security,pdo,frameworks,Php,.htaccess,Security,Pdo,Frameworks,我希望这个问题不要太愚蠢。我是PHP新手,对设计一个供内部员工使用的系统感兴趣。(因此所有用户都是可信的——他们的任何输入都将通过PDO) 不过,该系统将托管在互联网上 简单地使用PDO、.htaccess(限制目录访问)和在登录失败时重定向用户(这样没有帐户的用户就无法访问登录页面以外的任何页面,从而限制攻击者基于输入的SQL注入。)是否足以使站点在线托管 没有考虑使用一个框架,但我想知道,对于一个不允许公众看到除了登录页面以外的网站,它究竟能起到什么作用?(至少我是这么想的?) 对于.hta
没有考虑使用一个框架,但我想知道,对于一个不允许公众看到除了登录页面以外的网站,它究竟能起到什么作用?(至少我是这么想的?)
对于.htaccessdeny from all
$template = new TemplateController();
$template->template_controller();
<?php
class TemplateController
{
public function template_controller()
{
include "views/template.php";
}
}
if (preg_match('/^[a-zA-Z0-9]+$/', $_POST['inUsername']) &&
preg_match('/^[0-9A-Za-z!@#$%^&*(),.<>?\/\-_=+ ]+$/', $_POST['inPassword']))
if(preg_match('/^[a-zA-Z0-9]+$/',$POST['inUsername'))和
预匹配('/^[0-9A-Za-z!@$%^&*(),.?\/\-\+]+$/',$POST['inPassword']))
并尽可能使用事先准备好的语句。例如,在数据库中插入某些内容时,甚至在为查询的
WHERE并尽可能使用事先准备好的语句。例如,在数据库中插入内容时,甚至在为查询的
WHERE包括“模块/”$_获取[“路线”]。“.php”。对于我试图保护的内容:XSS、CSRF以及我一直在阅读的有关网站的所有安全问题。如果攻击者只能看到登录页面,则不确定是否可以进行这些攻击?不幸的是,我没有足够的经验来了解这一点,并且在寻找与GET命令相关的特定问题时遇到了一些挑战,这是因为GET查询是以字符串形式发送的,这会使我面临攻击吗?即使攻击者没有访问权限或是您认识的人,也可以这样做。这些攻击中的每一种都有已知的方法可以防止。您不应该以任何方式[限制密码]()输入。如果用户希望使用他们自己的骨髓进行身份验证-让他们来吧!限制输入通常不是一个好的安全措施。什么
if (preg_match('/^[a-zA-Z0-9]+$/', $_POST['inUsername']) &&
preg_match('/^[0-9A-Za-z!@#$%^&*(),.<>?\/\-_=+ ]+$/', $_POST['inPassword']))