话不多说 直接上正餐:
TP5 框架 其实自身就舍友对sql注入以及xss攻击的防御
sql注入 + xss攻击
位置 application/config.php
// 默认全局过滤方法 用逗号分隔多个'default_filter' => 'htmlspecialchars,addslashes',
htmlspecialchars:防止xss攻击
addslashes:可以对sql注入进行防御
session cookie盗窃
1:改名
对session名称进行更改PHP中Session的默认名称是PHPSESSID 直接一点 名字你都猜不到 你还还想要我的东西?
2:追加内容后进行加密
$name=$_POST['HTTP_NAME'];//对接收的值进行追加内容$name.= 'THIRTEEN';//使用 md5 加密$name = md5($name);//进行session 或 cookie 的保存$_SESSION['token'] = $token;
