Php 除了sql注入，还有什么别的吗？

我做了很多研究，搜索的时间越长，找不到答案，我就越高兴

我已经编写了自己的php mvc web框架，我担心SQL注入是唯一需要担心的漏洞

我使用自己的数据库抽象方法，支持不同的数据库，我的语句是sql注入证明。所以我的问题很简单，关于保护我的数据库，还有什么我需要担心的吗

如果有，请提供详细信息或文章，我可以从中获得更多信息，如果可能的话，还可以提供解决方案

---

多谢各位。易卜拉欣

如果你使用的是.net，只需在谷歌上快速搜索一下即可。通过修改web配置，可以防止大多数攻击

<authentication mode="Forms">
  <forms protection="All" loginUrl="~/Account/Login.aspx" timeout="30" slidingExpiration="true" />
</authentication>

如果允许上载，是否限制上载文件的大小或数量

除了保护自己免受SQL注入之外，您是否明确限制了数据的长度

您是否限制数据插入数据库的次数

除了SQL注入，您是否受到JavaScript注入的保护？如果我在您的数据库中存储了
恶意代码
，您确定有人通过浏览器查看我的文本时不会执行该代码吗

除了SQL注入之外，还有很多需要担心的事情，请看下面的列表：


较常见的有：


会话劫持
能够根据id猜测（和访问）其他记录
未加密的公共记录ID
能够上传可执行文件
能够访问他人的文件
身份验证/授权漏洞
会话固定

这个列表层出不穷，但看看PHP的安全文档用户注释，其中有一些非常好的注释：

数据方面，转义所有传入数据，实体/特殊转义所有传出数据。简单的理念，确保您只在数据进出时操作数据

考虑会话劫持、cookie编辑黑客、表单篡改（不要使用select和hidden forms的直接值。为它们分配一个与数组中某个元素对应的整数键，并使用该键获取该元素的值。）
如何？你怎么确定它是防注射的？您正在使用参数化吗？您应该只使用不具有应用程序工作所需权限的用户访问数据库。所有sql语句参数都是从db对象设置的，例如：$user->setName（“name”）；在保存之前，先对值进行转义并检查它是否是正确的数据类型对所有传出的数据进行缩放，虽然几乎可以保证恶意HTML不会存活，但通过使其不产生HTML这样的输出来做到这一点。如果您对文本字段使用富文本编辑器，您的用户将不会因为它现在到处都是可见的HTML标记而感到高兴。我认为您需要更具体地说明HTML转义的内容。