php设置httponly

1. thinkphp怎么做才是安全的sql防注入

1. 注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.

   
   

   代码举例：

   //不安全的写法举例1

$_GET['id']=8;//希望得到的是正整数

$data=M('Member')->where('id='.$_GET['id'])->find();

$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;

//安全的替换写法

$data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入

$data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束

$data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换

$data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法

$data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定

$data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制

//不安全的写法举例2

$_GET['id']=8;//希望得到的是正整数

$data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句

$_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;

2.防止注入的总的原则是<<根据具体业务逻辑,对来源于用户的值的范围,类型和正负等进行限制和判断>>,同时<<尽量使用THINKPHP自带的SQL函数和写法>>.

3.在THINKPHP3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

4.为COOKIE添加httponly配置

5.最新版本的thinkphp已经支持此参数。

9.富文本过滤

富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

2. php setcookie中path和domain怎么设置

setcookie函数原型如下：

boolsetcookie(string$name[,string$value[,int$expire=0[,string$path[,string$domain[,bool$secure=false[,bool$httponly=false]]]]]])

其中name为cookie的名字，value为cookie的值，expire为过期时间的秒级时间戳（默认为0，代表内存cookie，关闭浏览器即失效）

path为cookie的路径，浏览器在发送cookie是只会发送对应路径及祖先级路径的cookie，如cookieA设置在根下，cookieB设置在/dir/下，访问dir的请求会带着cookieB和cookieA，但访问根路径的请求只会带着cookieA

domain为cookie的域名，只能设置为当前域或当前域的上级域。例如，一个在a.b.com的页面，可以设置domain为a.b.com,b.com，设置为a.b.com只能在a.b.com中访问cookie，若直接设置为b.com,则可以在其他b.com域下访问

secure为true会对cookie进行HTTPS加密传输

httponly为true时，只能通过请求发送cookie，使用javascript无法读取httponly的cookie，安全性更高

3. 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞

使用php安全模式

服务器要做好管理，账号权限是否合理。

假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如：对用户的输入输出做好必要的过滤

防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。

文件上传，检查是否做好效验，要注意上传文件存储目录权限。

防御SQL注入。

避免SQL注入漏洞

1.使用预编译语句

2.使用安全的存储过程

3.检查输入数据的数据类型

4.从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库，也应该为数据库分配不同的账户。web应用使用的数据库账户，不应该有创建自定义函数，操作本地文件的权限。

避免XSS跨站脚本攻击

1.假定所有用户输入都是“邪恶”的

2.考虑周全的正则表达式

3.为cookie设置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注释

6. 针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

4. 怎么爬取httponly

手动在浏览器中获取cookie并且设置到我的爬虫里面 是可以进行登陆后的操作的。

在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTPonly cookie。

什么是HttpOnly

如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效地防止XSS攻击，目前sun公司还没有公布相关的API，但PHPC均有实现。搞javaEE的兄弟们比较郁闷了，别急下文有变通实现。