PPT中一些理念:
(1)深度防禦。在進入前有多個安全邊界,進入和出去一樣嚴格管理。使用IDS來協防,不要過分依賴防火牆和包過濾。
(2)對系統和應用程式進行審計。
(3)進行全員安全培訓。
一些安全技術:
(1) mysql中過濾:
$sql = sprintf(“SELECT something FROM table WHERE name=‘%s’ AND age>%d”, mysql_real_escape_string($foo), $bar)
(2)不要使用gpc_magic_quotes
(3)使用mysql_real_escape_string() 來過濾字串
(2)不要使用gpc_magic_quotes
(3)使用mysql_real_escape_string() 來過濾字串
(4)使用htmlentities()和ENT_QUOTES來過濾xss,例如
<?=htmlentities($foo,ENT_QUOTES);?>
一些資源:
Crucial Security – http://www.crucialsecurity.com
Google Hacking – http://johnny.ihackstuff.com
OWASP – http://www.owasp.org
Crucial Security – http://www.crucialsecurity.com
Google Hacking – http://johnny.ihackstuff.com
OWASP – http://www.owasp.org