本文只是我根据自己的实际开发经验总结出来的一些东西。这不是一句著名的格言。写出来有两个目的:一是时刻提醒自己根据这些知识点写自己的。代码,二是分享,或许对你有用?以防万一,对吧?..1、初级意识:安全性大多数时候,我们开发的web程序都需要和数据库打交道,所以几乎可以说SQL注入是一个绕不开的需要讨论的问题。而且,像XSS、CSRF这样的攻击在近几年大行其道,让“黑客”们仿佛又是一把武器,而我们始终处于被动状态。但我们必须记住以下两个原则:永远不要相信用户输入的内容。(老话,但确实如此)转义您需要输出的数据。简单的说:过滤输入,转义输出如果你是新手,不要使用类似下面的查询:SELECTFROMusersWHEREusername=$_POST['username']ANDpassword=$_POST['password'];还有就是,用PDO或者Mysqli,不要再用老的mysql操作了。至于CSRF的解决方案,目前的接触是为每次提交表单设置一个token值,然后在提交表单时进行验证。2.清楚知道PHP的比较运算符各个比较运算符的区别,这个其实可以说是一个小的注意点,但是在某些时候确实很重要。比如很多时候我们要想清楚是用==还是===。如果你使用过strpos()函数,下面的代码可能会给你一个直观的感受:0?$主机:html实体($主机);7、使用缓存目前PHP中流行的缓存技术可能是Redis和Memcached。在PHP官方文档中,也有使用Memcached的教程。至于Redis,我目前正在研究中,如果顺利的话,稍后会给出一些教程。8.使用框架有很多好处。可能是性能上有损失。似乎没有理由不使用该框架。框架可以加快你的开发速度,也可以让你在写代码的过程中。舒服了,想了很多安全问题,都会很好的解决。我这里首先推荐Laravel,但是像Yii2SlimSymfony是一个非常好的框架。除了Symfony,其他三个我都有使用经验,最后基本都是用Laravel。不过我推荐的Laravel不一定适合你,还是看个人喜好。9、使用isset()代替strlen()如果项目代码中需要根据字符串的长度进行条件判断,强烈建议直接使用isset(),因为相同条件后,isset()大约比strlen()快五倍,所以:=6){//用户名至少6个字符长。}以上两个条件判断可以达到同样的目的,但是我推荐使用第一个。
