PHP代码编写安全

密码要强壮坚挺
密码最好不要放在COOKIE中
开启GPC
禁用register_globals
物理服务器安全
$_GET、$_POST、$_COOKIE和$_REQUEST是完全可以伪造的
必须知道某些$_SERVER和$_ENV变量也可伪造
凡是外部提交的数据都要过滤干净
用系统自带mime来判断文件类型直接被秒杀
最好通过后缀来判断类型
禁止上传目录有执行脚本权限
include包含的变量过滤干净
禁止使用远程包含
GBK可以被双编码字符注射
没有特殊需求，关闭远程数据库
不要将明文密码存放在数据库中
同一服务器，SESSION可以跨域
屏蔽所有错误信息

本文摘自子仪博客由网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.转载本文请著名原文地址及版权信息。