最新做的一個項目,被測試組猛烈***,暴露了不少問題。其中一個問題印象深刻!
測試使用了WebInspect這個掃描工具,掃描了整個網站,包括後臺。結果我們的數據庫裏被灌入大量的垃圾數據,並修改了原有的數據。總之,慘不忍睹!
後來,我們發現我們後臺的一個簡單的檢查是否登錄的方法有問題:在判定未登錄時,使用php header()跳轉頁面,沒有在這個方法執行後退出執行。這樣的話,頁面跳轉,但在header()下面的代碼依然會執行。
現總結下php header()使用時注意的問題:
1:location和“:”號間不能有空格,否則會出錯。
2、在用header前不能有任何的輸出。
3、header後的PHP代碼還會被執行。記得加exit() 或者die 退出。
另外,後臺登錄地址注意安全,不讓他人輕易猜到!
ad www.diy178.net 譜友網!吉他音樂!