Web Vulnerability Prevent
目錄
弱點掃描、滲透測試或源碼檢測網路漏洞風險修補方法分享
前言
分享一些PHP或JS弱點掃描、滲透測試或源碼檢測遇到的風險處理方法。
XSS
- 8.1版前可以使用
filter_var($variable, FILTER_SANITIZE_STRING)
,但是FILTER_SANITIZE_STRING
在PHP8.1版被棄用了。 - 使用
htmlspecialchars($variable, ENT_QUOTES)
(使用ENT_QUOTES為雙引號與單引號都要轉換)。
Info
filter_var是直接把html的tag給去除掉,htmlspecialchars是把特殊字元轉換成編碼。
SQL Injection
- 治本方法就是使用PDO。
- 使用
addslashes()
可以解決大部分問題。
Path Manipulation
使用realpath()
過濾掉../
,使用basename()
取得檔案名稱。
Cross-Site Scripting: DOM
使用js將資料傳給物件時,不要使用innerHTML
,使用innerText
。
Password Management: Hardcoded Password
不要將密碼直接打在程式碼上,可以使用dotenv
Insecure Randomness
使用random_int()
,這個函數產生。