常见的未知PHP安全隐患

有一件事我已经看到很多东西被开发成一个功能而不被视为安全漏洞,直到它为时已晚是改变状态的GET请求.这些很容易导致 cross-site request forgery.例如,您的应用程序可能有一个链接到 http://mysite.com/logout,用于记录用户.但第三方网站可以添加如下代码：

<!-- on evil.com site -->
<img src="http://mysite.com/logout">

然后,当用户在evil.com上加载页面时,他们将退出mysite.com！

当站点使用状态更改GET请求实现API时,会出现最严重的问题.例如,如果我使用诸如site.com/addfriend,site.com/sendmessage等网址运行社交网站,并且我将这些网址发送给将要为我的网站制作应用程序的开发人员,那么开发人员必须在发现安全漏洞时处理API更改.