1
skydiver 2013-12-06 22:32:37 +08:00 via Android 2
别忘了过滤用户的输入防止XSS
|
3
ihacku 2013-12-06 23:32:41 +08:00 1
后台登陆页要有验证码 防止暴力破解管理密码
有的写的不好的后台有些页面可以不登陆就可以访问 检查一下 验证上传文件的格式 避免被传webshell 过滤一句话shell关键字 安全要求较高的话可以增加两步验证 https://www.duosecurity.com/ |
5
letitbesqzr 2013-12-07 00:18:48 +08:00 1
我来从安全角度说吧。
首先上传功能,一定要过滤好各种后缀名.. 也要注意上传的时候如果遇到%00的时候的处理,还有iis6的解析漏洞1.jpg;x.asp 还有如果同时传两个文件上来的处理..建议用各种语言对应的安全模块。。 sql注入什么的都比较好过滤...csrf一定要防御好... 像wordpress这种后台就十分危险.. 知道拿到后台密码,几乎webshell就拿下了..后台直接可以上传php或编辑php |
6
letitbesqzr 2013-12-07 00:20:14 +08:00 1
还有就是后台查看用户的资料或者留言的时候 一定要过滤好xss..或者设置session 遇到ip 以及 useragent 不同就自动销毁session. php的ci框架就自带这功能..
|
7
9hills 2013-12-07 00:25:06 +08:00 1
选一个靠谱的框架,能基本解决大部分问题
|
8
scarlex OP @letitbesqzr
@9hills 感谢已发送~ 框架方面打算用 flask 这种微框架来练习一下。 -------- 有安全以外的方面可以分享下嘛? 我主要想知道后台除了数据库操作,安全以外还有什么其他方面需要注意的。 |
9
MichaelYin 2013-12-07 11:25:37 +08:00 1
不要只在登陆页面进行检测用户。。。曾经见过的活生生的栗子。。。
框架只是方便你干事情,不要期待它把事情都做了。。 |
10
scarlex OP @MichaelYin
能具体讲一下这个例子嘛? |