Php 网站安全-帮助我吸少

在网站安全方面，我有点落后于时代。我知道基本知识-验证所有传入的数据，将保存到数据库的数据转义，使用salt作为密码，等等。但我觉得我遗漏了很多东西，这些东西可能会咬到我的屁股。尤其是我迁移到.NET的速度很慢。我只是不知道如何在.NET中复制我在PHP中所知道的内容。下面是我一直在思考的一些事情，我确信我需要帮助

问题：保护会话
PHP：每当用户执行重要操作时，使用session_regenate_id（）。
.NET：不知道如何在这里复制它。
将军：我还缺什么

问题：XSS
PHP：使用htmlentities（）将潜在危险的代码转换为（大部分）无害的代码。
.NET：我相信MVC，在视图中使用标记也可以做同样的事情。
常规：我还可以做更多的事情来阻止JavaScript吗？那么完全拒绝HTML呢？如何保护文本区域

问题：远程执行
PHP：使用正则表达式查找并删除eval（）函数调用。
.NET：毫不奇怪，不知道。
将军：再说一次，我还需要更多的东西吗

问题：目录遍历（可能与上述相关）
我只是不知道我该有多担心这件事。我也不知道如何阻止它

欢迎您提供建议、文章链接（带代码示例）等，我们将不胜感激。

您可以添加到列表中。通过在应用程序的表单中添加隐藏令牌（可能与cookie匹配），然后在处理提交的表单数据时检查两者是否匹配，可以防止出现这种情况

会话\u重新生成\u id

我不认为有一个等价物。会话是短暂的，因此如果攻击者能够及时进入会话，那么在您更改访问级别后也应该会发生这种情况

另外，会话并不意味着在asp.net中对用户进行身份验证。使用自定义身份验证时，使用表单身份验证

上面说，你做的任何事都要受到中间人的攻击。很多网站都是这样，所以cookie劫持是一个普遍存在的问题

当执行任何特殊操作时，要求用户再次输入密码/这应通过https完成。如果需要执行一系列特殊操作，可以执行一次，但从那时起，请求/cookie需要通过https发送。在此上下文中，您可以发出一个修改后的表单身份验证cookie，该cookie允许访问特殊操作，并且需要https

我相信MVC，在视图中使用标记也可以做同样的事情

是的，这相当于/有一些额外的东西来防止双重编码（应该研究一下）

使用regEx查找并删除eval（）函数调用

在.net中，你没有这么广泛的访问权限。如果你没有明确地做任何不寻常的事情，你很可能没事

目录遍历（可能与上述内容相关）

使用MapPath和类似工具。它实际上可以防止超出站点文件夹。也就是说，避免完全接收路径，因为您仍然可以无意中访问asp.net文件夹中的特殊文件。事实上，这是在oracle漏洞中发生的Microsoft处理程序的一部分-更多信息

您可以将CSRF添加到列表中

使用防伪令牌：

填充oracle攻击：

应用变通方法&然后在补丁退出后立即应用

---

了解我在这里提到的所有内容：。了解其中的所有内容非常重要，特别是如果您使用了任何功能，即您不想成为将敏感数据置于视图状态的人：）

请参阅+1了解更多精彩信息。谢谢正是我想要的。