最新做的一個(gè)項(xiàng)目,被
測試組猛烈攻擊,暴露了不少問題。其中一個(gè)問題印象深刻!
測試使用了WebInspect這個(gè)掃描工具,掃描了整個(gè)網(wǎng)站,包括后臺(tái)。結(jié)果我們的
數(shù)據(jù)庫里被灌入大量的垃圾數(shù)據(jù),并修改了原有的數(shù)據(jù)。總之,慘不忍睹!
后來,我們發(fā)現(xiàn)我們后臺(tái)的一個(gè)簡單的檢查是否登錄的方法有問題:在判定未登錄時(shí),使用php header()跳轉(zhuǎn)頁面,沒有在這個(gè)方法執(zhí)行后退出執(zhí)行。這樣的話,頁面跳轉(zhuǎn),但在header()下面的代碼依然會(huì)執(zhí)行。
現(xiàn)總結(jié)下php header()使用時(shí)注意的問題:
1、location和“:”號(hào)間不能有空格,否則會(huì)出錯(cuò)。
2、在用header前不能有任何的輸出。
3、header后的PHP代碼還會(huì)被執(zhí)行。記得加exit() 或者die 退出。
另外,后臺(tái)登錄地址注意安全,不讓他人輕易猜到!