Cross Site Scripting o XSS es donde el contenido de entrada a su script PHP, tales como Javascript. XSS es muy útil, por ejemplo, si se reunían las noticias en una página web . Sin embargo, si usted tiene un script que permite a los usuarios elegir un número de página , y en su lugar insertar un script para un código externo y después el XSS dará lugar a agujeros de seguridad. Añadir a " strip_tags ()" en su PHP para eliminar de entrada HTML.
SQL Injection
SQL Injection permite los agujeros de seguridad en su base de datos. En una forma de inicio de sesión del usuario, por ejemplo, si se utiliza un "password = $ password ' " escritura básica , entonces el hacker puede entrar " ' OR 1 = 1 " en el campo de la contraseña , y acceder a la base de datos . Esto significa que el hacker puede entrar en cualquier cuenta que conoce el nombre de usuario . Inserte el " mysql_real_escape_string ()" para evitar que esto suceda .
Falsificado Forma de entrada
igual que con la inyección de SQL , si usted tiene cualquier tipo de formar como una " entrada" o " textarea ", a continuación, un hacker puede utilizar estos elementos de sólo lectura para dar órdenes y sentencias de SQL en el script. Solucionar este como lo haría con la inyección SQL si utiliza consultas SQL a la base de datos principal .
File Upload
Si desea ofrecer una caja de carga de archivos de entrada de su sitio web , esto plantea un peligro potencialmente grande de entrada . Hay dos cosas que hacer para solucionar este problema. En primer lugar , especifique mime- tipo para los archivos que desea subidos al , por ejemplo , agregar " image /png" y " image /gif " a la etiqueta $ validMimes para reducir los tipos de archivos a los mimos . Dependiendo del tipo mime , para mayor seguridad añadir "= > ' . Png ' " después de la etiqueta png , para asegurarse de que el tipo mime coincide con la extensión de archivo .