最新做的一個項目,被
測試組猛烈攻擊,暴露了不少問題。其中一個問題印象深刻!
測試使用了WebInspect這個掃描工具,掃描了整個網站,包括后臺。結果我們的
數據庫里被灌入大量的垃圾數據,并修改了原有的數據。總之,慘不忍睹!
后來,我們發現我們后臺的一個簡單的檢查是否登錄的方法有問題:在判定未登錄時,使用php header()跳轉頁面,沒有在這個方法執行后退出執行。這樣的話,頁面跳轉,但在header()下面的代碼依然會執行。
現總結下php header()使用時注意的問題:
1、location和“:”號間不能有空格,否則會出錯。
2、在用header前不能有任何的輸出。
3、header后的PHP代碼還會被執行。記得加exit() 或者die 退出。
另外,后臺登錄地址注意安全,不讓他人輕易猜到!