&引用；“静态”；PHP页面安全性

我目前正在建设一个网站，使用PHP，并考虑全面保护网站。目前和将来，我不打算使用SQL，甚至不打算在网站上的任何地方使用用户提交的输入-PHP页面基本上是简单的，以便使用

requires

将几个不同的HTML片段拼接在一起创建一个完整的页面。 我应该注意哪些类型的漏洞（如果有的话）来防范？

如果您没有根据任何类型的用户提供的数据进行“拼凑”，并且没有将任何用户提供的数据包含到页面中，那么您的脆弱性就和普通的静态.html文件一样

这意味着你没有做：

include($_GET['pageName']); // hello total server compromise

或

---

诸如此类。

这是一个巨大的主题，无法在一篇文章中回答。一些提示：

• 安全地物理访问您的web服务器（您的托管提供商应处理此问题）
• 最小化对服务器的远程访问。设置防火墙，使用正确的密码，定期运行更新
• 保护您的代码（PHP和javascript）。确保“清洁”您可能处理的任何QString，切勿使用eval。考虑使用框架来简化这一步骤。
• 保存服务器日志，并定期检查它们是否存在恶意行为

---

这只是一个跳跃点。谷歌搜索“web应用程序安全性”将发现大量信息。祝你好运

在您概述的情况中没有漏洞

如果使用任何查询字符串变量加载页面，则可能需要对其进行保护。例如：article.php？page=php页面安全性

---

否则，只需确保您的服务器软件定期更新到最新版本，并且对web服务器的访问得到了适当的保护。听起来你的代码非常基本，你没有用PHP进行任何处理，所以你应该没事。

你应该确保你的软件（例如Web服务器、操作系统、PHP）是最新的，有最新的安全补丁和更新。您还可以隐藏PHP（阅读或[搜索谷歌]）(http://www.google.com/search?q=hiding+（菲律宾）

通过结合从这里的答案中得到的所有建议，您的应用程序将更加安全

正如@Toast所说的，您最好通过使用（/在Linux上）来阻止传入流量，并且只允许端口80，除非您希望启用其他服务，例如

---

如果您希望在服务器和客户端之间传输的数据是安全的，那么这是最好的解决方案。

可能的漏洞在于整个服务器的安全性。 当您以这种简单的方式使用PHP时，您可能不太了解它，并且可能会忽略一些漏洞：例如用户输入选项，或者允许坏人将其PHP上载到服务器的文件访问权限。 PHP为包含文件的简单任务提供了太多的功能。更多的能力=更多的风险。

---

为了将多个文件组装成一个网页，我会使用它，只需禁用php—更快、更安全。

没错—我正在执行类似于

require_once（“common.php”）的语句。
echo "Hello, ", $_GET['username']; // hello cross-site-scripting!