PHP和HTML的安全性

我围绕API设计了php和html代码

html代码允许用户键入特定项进行评估。然后将该项发布到php并通过API运行。它得到响应并弹出一个php页面

API得到了很好的保护，但我想知道我的页面中是否有任何可能出错的地方，包括PHP和html

---

让我知道你是否能想出任何可能有害的方法。

你需要通过html页面使用验证码来防止API滥用，如果你还没有这样做。

如果你的php使用数据库来存储用户发布的信息，那么你需要有一些安全性来进行预处理发泄注入攻击，建议使用预先准备好的语句和盐渍散列。

我们有一个非常类似的问题和担忧。在我们的网站上，我们有十几个PHP“API”文件。当用户登录我们的网站时，一个特定的会话变量被设置为具有唯一信息。在API文件中，我们检查该会话变量，如果未设置，则会出现错误这是对登录页面的重定向。这可以通过直接调用API文件来防止走得太远

另外，在php脚本目录中有一个index.php，它也会进行重定向，以防在没有它的情况下可以查看目录

此外，我们确保清理每个_POST和_GET变量，以防止SQL注入攻击。PHP的mysql客户端有一个函数（我不记得这个名字），可以帮助清理这方面的参数

---

这是一些建议。希望这能有所帮助。

我正在联系的API有一个数据库，但它在这一端是安全的。所以它不应该影响我们的任何东西，是吗？我们使用php上的Curl连接到API如果API很好，那么它应该受到保护，以防注入攻击。但是，如果您在任何时候访问您的数据库se（如果您有）如果不是通过API，那么在访问数据库时，您必须考虑注入攻击。我没有数据库。php只与API联系，然后在其数据库中查找并格式化/显示响应。当前站点使用API密钥，将访问API评估的次数限制为每天50次。这是否合适还有priate？是的。请检查您实现API密钥系统的方式。请参见我的答案->SQL注入与PHP无关，是吗？只有当它被注入到数据库中时？但正如我所说，API保护自己不受SQL注入的影响SQL注入适用于任何将“外部”参数内置到SQL语句中的语言。假设您将一个Id传递给一个API文件，并将其放入SQL语句：“DELETE FROM Customer WHERE Id=“.$\u POST['Id']”。那么，如果$\u POST['id']=“43或id不为空”呢？再见，桌子。任何事情都可能出错。请更具体地说明您所关心的问题。