一、SQL注入修复建议
1.过滤危险字符,例如:采用正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终止运行。
2.使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中,而是使用占位符实现对数据库的增删改查。
二、XSS修复建议
1.过滤输入的数据,例如:“ ‘ ”,“ “ ”,” < “,” > “,” on* “等危险字符。
2.对输出到页面的数据进行相应的编码转换,如HTML实体编码、JS编码等。
三、CSRF修复建议
1.验证请求的Referer是否来自本网站,但可被绕过。
2.在请求中加入不可伪造的token,并在服务端验证token是否一致或正确,不正确则丢弃拒绝服务。
四、SSRF修复建议
1.限制请求的端口只能为web端口,只允许HTTP和HTTPS请求
2.限制不能访问内网的IP,防止内网被攻击
3.屏蔽请求返回的详细信息
五、文件上传修复建议