PHP include($_GET[‘p’]) 有什么安全隐患?

PHP ,
答案 不要 include 或 require 从 $_GET、$_POST 或 $_COOKIE 中得到的文件。 例如: //including header, config, database connection, etc include($_GET['p']); //including footer 黑客现在可以用:http://www.yourdomain.com/index.php?p=anyfile.txt 来获取你的机密信息,或执…

什么是 XSS 攻击,如何防范?

网络安全 ,
答案 XSS,跨站脚本攻击。 简单来说,XSS就是正常页面执行了用户或黑客提交的前端代码,比如你用了 eval('这里执行了用户提交的代码') 或者你的页面正常解析了用户提交的html代码,如用户提交的个人信息是: <script>window.location.href="恶意网站连接";</script>…

什么是 CSRF 攻击,如何防范?

网络安全 ,
答案 CSRF,跨站请求伪造,攻击方伪装用户身份发送请求从而窃取信息或者破坏系统。 基本原理 用户访问A网站登陆并生成了 Cookie,再访问B网站,如果A网站存在CSRF漏洞,此时B网站给A网站的请求(此时相当于是用户访问),A网站会认为是用户发的请求,从而B网站就成功伪装了你的身份,因此叫跨…