Jawaban Javier yang memiliki tautan owasp adalah awal yang baik.
Ada beberapa hal lagi yang dapat Anda lakukan:
-
Mengenai serangan injeksi SQL, Anda dapat menulis fungsi yang akan menghapus pernyataan SQL umum dari input seperti " DROP " atau "DELETE * WHERE", seperti ini:
*$sqlarray =array( " DROP ","or 1=1",,"union select",,"SELECT * FROM",,"select host",,"buat tabel",,"FROM users",,"users WHERE");*
Kemudian tulis fungsi yang akan memeriksa input Anda terhadap array ini. Pastikan semua hal di dalam $sqlarray tidak akan menjadi masukan umum dari pengguna Anda. (Jangan lupa untuk menggunakan strtolower ini, terima kasih lou).
-
Saya tidak yakin apakah memcache berfungsi dengan PHP 4 tetapi Anda dapat menerapkan perlindungan spam dengan memcache dengan hanya mengizinkan akses IP jarak jauh tertentu ke halaman process.php sebanyak X kali dalam jangka waktu Y.
-
Hak istimewa itu penting. Jika Anda hanya perlu memasukkan hak istimewa (misalnya, pemrosesan pesanan), maka Anda harus masuk ke database pada halaman proses pemesanan dengan pengguna yang hanya memiliki hak akses insert dan mungkin pilih. Ini berarti bahwa meskipun injeksi SQL berhasil, mereka hanya dapat melakukan kueri INSERT / SELECT dan tidak menghapus atau merestrukturisasi.
-
Letakkan file pemrosesan php penting dalam direktori seperti /include. Kemudian larang semua akses IP ke direktori /include itu.
-
Letakkan MD5 salt dengan agen pengguna + remoteip + salt Anda di sesi pengguna, dan buat itu memverifikasi pada setiap pemuatan halaman bahwa MD5 yang benar ada di cookie mereka.
-
Larang tajuk tertentu (http://www.owasp.org/index.php/Testing_for_HTTP_Methods_and_XST ) . Larang PUT(Jika Anda tidak perlu mengunggah file)/TRACE/CONNECT/DELETE header.