随时补充,先记录看到的
优先使用php内部函数
filter_var() 使用特定的过滤器过滤一个变量
示例:
var_dump(filter_var('bob@example.com', FILTER_VALIDATE_EMAIL));//判断是否是邮箱
var_dump(filter_var('http://example.com', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED));//判断是否是url
pathinfo() 函数以数组的形式返回文件路径的信息。
示例:
pathinfo(test.php,PATHINFO_EXTENSION)//返回文件后缀
get_object_vars() 返回由对象属性组成的关联数组
array get_object_vars ( object $obj )
exif_imagetype() 确定图像的类型
get_browser()获取浏览器具有的功能
服务器方面
通过ns接入cdn 隐藏ip
尽量少使用gbk编码,容易sql注入
cookie 设置 httponly,防止cookie 被第三方截取
1.安全函数
addslashes() 在每个双引号(")前添加反斜杠
htmlspecialchars() 把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体
不安全的单字节操作符、字符串操作全部采用mb_开头的函数
#例如 substr()--->mb_substr()
避免使用下列函数
extract() 函数从数组中将变量导入到当前的符号表
eval() eval() 函数把字符串按照 PHP 代码来计算
preg_reaplce() ---->preg_replace_callback()
代码方面
1.字符类型隐示转换
2.上传判断采用白名单
3.html富文本编辑器 采用html语法解析判断在提交
array_filter() 用回调函数过滤数组中的元素
end() 返回数组当前元素和最后一个元素的值
