我正在寻找一些更高级的安全检查的例子,我可以在我的网站上执行。
我正在使用带有PDOMySQL数据库的PHP 5.2。
我最感兴趣的是:
- 使用默认PDO插入/更新的SQL注入示例(是的,我正在使用准备),
- 任何允许我查看我的脚本是否没有在代码中的任何位置显示表名的检查(包括 PHP 异常),
- 通过注册表或身份验证表单杀死或入侵数据库中的用户帐户的任何方法(也就是说 - 我已经在登录表单上提供了暴力保护)。
我也有兴趣对任何会话劫持或跨站点脚本的尝试进行实时检查(我有允许用户输入HTML代码的文本区域(通过TINY MCE),我想知道我的机制是否阻止了任何众所周知的XSS攻击)。
任何样品将不胜感激:)特别是这些与SQL注入PDO有关。
我向您推荐此工具,它是一种扫描程序,可以检查您的网站是否存在漏洞,并在漏洞类型以及如何解决它之间标记您的文件和行号。您下载文件并将它们放在您的 Web 服务器中,它只能在本地使用,请不要在真正的实时站点中使用它:
http://rips-scanner.sourceforge.net/
这里有更多(我没有尝试过):
http://sourceforge.net/projects/phpsecaudit/
http://sourceforge.net/projects/yasca/
希望这对你有帮助。问候