第十二章、提高网站安全

在本章中,我们将涉及以下主题。
  • 过滤$_POST数据
  • 验证$_POST数据
  • 保护PHP session
  • 用令牌保护表格的安全
  • 建立一个安全的密码生成器
  • 带有验证码的安全保护表格
  • 不使用mcrypt进行加密/解密

前言

在这一章中,我们将向您展示如何设置一个简单而有效的机制来过滤和验证一个帖子数据块,然后,我们将介绍如何保护您的PHP session 免受潜在的会话劫持和其他形式的攻击。下一个示例将介绍如何使用随机生成的令牌来保护表单免受跨站点请求伪造(CSRF)攻击。关于密码生成的示例向您展示了如何结合 PHP 7 真正的随机化来生成安全的密码。然后我们向您展示了两种形式的验证码:一种是基于文本的,另一种是使用扭曲的图像。最后,还有一个秘诀,它涵盖了强加密,而不需要使用信誉不佳和即将被淘汰的 mcrypt 扩展。