我已经围绕API设计了php和html代码。
html代码允许用户键入特定项目进行评估。然后将该项发布到php并通过API运行。它得到响应并吐出一个php页面。
API受到了很好的保护,但我想知道我的页面中是否有任何可能出错的地方,包括PHP和html.
如果你能想出任何可能有害的东西,请告诉我。
如果你的php使用数据库来存储用户发布的信息,那么你需要有一些安全性来防止注入攻击,建议使用准备好的语句和盐水哈希。
如果您还没有这样做,您需要通过您的html页面使用Captcha验证来防止API使用。
我们有一个非常相似的问题和关注点。在我们的网站上,我们有几十个PHP"API"文件。当用户登录我们的网站时,会设置一个具有唯一信息的特定_SESSION变量。在API文件中,我们检查该会话变量,如果未设置,则会重定向到登录页面。这应该可以防止通过直接调用API文件而走得太远。
此外,在php脚本目录中有一个index.php,它也会进行重定向,以防该目录在某种程度上可以通过out it查看
此外,我们确保对每个_POST和_GET变量进行消毒,以防止SQL注入攻击。PHP的mysql客户端有一个函数(名称转义),它将帮助清理这方面的参数。
这是几个建议。希望这能有所帮助。