Appearance
DDOS
fail2ban检查日志判断某ip操作次数,调用IP table封禁ip 充钱升级配置,提高攻击成本 去云提供商买服务,云盾等 关闭不必要的端口,避免攻击
CSRF
跨站请求伪造 同源检测 请求头的Origin referer Samesite COOKIE Token 验证码等 XSS Htmlspecialchars();
跨站脚本攻击
<script></script>转义 html_entity_decode() strip_tags()
Javascript:; 参数过滤
href src form 提交
事件 onclick onload等
CSS:backgroud:url(xxx),用expression
referer来源判断
Cookie :HTTP-only cookie
验证码ssrf
MYSQL注入 使用预编译绑定变量(PDO),prepare() 检查数据类型,对特殊符号和关键字转换,addslashes(),mysqli_real_escape_string() 每个用户设置合理的权限,一个库一个用户
mysql安全
PHP安全
exec,eval,shell_exec,system,可执行代码或指令 服务器安全 端口不开放,或者只对特定的ip开放 密码不用弱口令 多个用户分配权限 关注安全动态,升级软件,防护等 买云盾等 cdn 如何防篡改 禁止ip访问,绑定域名