标准答案我就不知道了,只是我个人的理解大概是这个方面要注意:1 [POST/GET]页面参数传值/字符串输入/数据入库等类似动作都要做好严格的危险字符过滤处理.2 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理.3 敏感信息(如PASSWORD/银行帐号等)不要依赖COOKIE,SESSION,最好读表,并尽量缓存读表数据.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露.5 要完全屏掉所有出错提示,或者能捕获所有出错并重新定制输出,以防报错信息泄露你的网站及相关文件路径,MYSQL字段/网站环境等.6 所有对库表的写入与读取操作都需要做好访问来路限制... |