我正在创建一个用户登录/注册表单,并且对它的安全性有强迫症。
哪个对黑客和恶意代码注入者更安全?将代码置于HTML之上(在登录表单中),如
if(isset($_POST['submit'])) {
或以单独的PHP形式编写,如:
<form action="sign_in.php" method = "post">
还是其他方法?
我正在创建一个用户登录/注册表单,并得到强迫症关于它的安全。哪个更安全,不受黑客和恶意代码注入者的攻击?来将代码置于HTML之上(在登录表单中),或者将其写入
我在上面已经注释过了,但是您放置代码的位置与安全性几乎没有关系。所有的PHP将被解析的PHP模块在Apache(我假设),当页面被称为&呈现。所以它可以分散到半打文件中,但它仍然被吸进一个页面输出。
因此,就安全性而言,您的PHP代码不可能通过简单的后端代码放置而被黑客攻击。这不是黑客的工作方式,也不是漏洞暴露的方式。
更重要的是确保所有用户输入都经过验证。看看你的代码,无论你做什么,你都不应该在没有过滤、处理的情况下传递$_POST
值。首先验证它们
如果你计划在MySQL中使用PHP,那么你需要确保你使用mysqli_*
扩展和准备好的语句来防止MySQL注入。因为MySQL注入是当今网站被黑客攻击的头号途径。