来源:自学PHP网 时间:2015-04-15 15:00 作者: 阅读:次
[导读] 1 非直接执行程序请加上if(!defined( IN_DISCUZ )) {exit( Access Denied );}2 记得过滤 比如说uid等id需要intval过滤,避免溢出 文字内容需要htmlspecialchars过滤避免内容变形(DZ内为dhtmlspecialc...
1.非直接执行程序请加上 if(!defined('IN_DISCUZ')) {exit('Access Denied');} 2.记得过滤 比如说uid等id需要intval过滤,避免溢出 3.查询条件需要写在'和'中间. 这个是为了避免别人使用查询的条件写出溢出内容 4.所有写入mysql的变量必须addslashes DZ内为daddslashes,如用DZ无须再次过滤,DZ已将所有 这是为了避免破第3步将变量内带'使第3条无效 if($click) {$front = 'a, b ,c';$back = "'$a', '$b', '$c'";} else {$front = $back = '';} 然后在下面的插入内可以直接加上 查询也类似. 5.提交内容记得用submitcheck() 6.确保所有变量都有定义,防止被别人利用 7.extract,eval等函数需要小心使用 8.写储存文件的时候记得过滤 <?PHPexit('Access Denied');?> 9.可上传附件的插件记得限制类型 上传附件,为了防止他人上传可执行文件,必须检查后缀名是否含有可执行文件后缀名,最好不允许此类文件上传,如需上传请将文件名改变. $attach['attachment'] .= preg_replace("/(php|phtml|php3|jsp|exe|dll|asp|aspx|asa|cgi|fcgi|pl)(\.|$)/i", "_\\1\\2",substr($filename, 0, 64).'_'.random(12).'.'.$extension); 10.所有组数在运用前记得写$xxx = array(); |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com