legend3---16、网站的安全性问题

一、总结

一句话总结:

通过客户端传递参数的方式也是有些危险,需要注意
单纯的获取数据的方法还好,但是 修改数据库方法一定要同时做前后端验证

1、php的blade语法是可以和vue混用的?

因为解析php在服务端,比解析vue早很多,解析vue在客户端

2、用户数据(比如用戶表的)转化为json之后能够直接传给window对象吗:比如 window.user={!! json_encode($user) !!};?

不能,因为这样,用户的数据就会跑到客户端去了,这种敏感数据的话就太危险了

3、连表的时候如果把用户的信息弄出去就太危险了?

连表的时候不要user.*

4、传参数数据到页面,如果用户改了数据,那么他预期的就是错误的结果,这样对他和正常用户都没有影响?

还是推荐使用页面做数据的参数,也就是可以把数据传到页面,而不用session
只是单纯的获取数据(非敏感),完全就可以将参数传递到客户端

5、对有多种访客权限的页面(比如个人中心页,粉丝页,关注页)都要增加路由参数,而不能只用session?

只用session的话用户在进进退退之间容易出问题
如果对每个多种权限的页面弄一个session的话,就不会出错了

6、每个 多种访客权限的页面 鉴别身份的变量 不要互用?

比如粉丝页 就不能用个人中心页 的鉴别用户身份的变量来鉴别用户的身份

7、监听回车事件(搜索框)?

$("#navbar-search-input").keypress(function(event){if(event.which === 13) { /*要执行的代码*/ }})
<form class="navbar-form navbar-left" role="search">

  <div class="form-group">

      <input type="text" data-url="{{url('/search_lesson')}}" class="form-control" id="navbar-search-input" placeholder="找课程">

  </div>

</form>

{{--找课程回车键事件--}}

<script>

    $(function () {

        //$("#focus")为获取id为focus的元素

        $("#navbar-search-input").keypress(function(event){

            if(event.which === 13) {

                //点击回车要执行的事件

                let search_content=$('#navbar-search-input').val();

                let url=$('#navbar-search-input').data('url');

                url=url+'/'+trim(search_content);

                window.location.href=url;

                //console.log(search_content);

                console.log(url);

                return false;

            }

        })

    });

</script>

8、adminlte模板中的search框默认有事件,如何阻止它默认的事件?

直接在自己的事情里面return false,因为自己的事件在它的事件前,所以可以阻止发生
<form class="navbar-form navbar-left" role="search">

  <div class="form-group">

      <input type="text" data-url="{{url('/search_lesson')}}" class="form-control" id="navbar-search-input" placeholder="找课程">

  </div>

</form>

{{--找课程回车键事件--}}

<script>

    $(function () {

        //$("#focus")为获取id为focus的元素

        $("#navbar-search-input").keypress(function(event){

            if(event.which === 13) {

                //点击回车要执行的事件

                let search_content=$('#navbar-search-input').val();

                let url=$('#navbar-search-input').data('url');

                url=url+'/'+trim(search_content);

                window.location.href=url;

                //console.log(search_content);

                console.log(url);

                return false;

            }

        })

    });

</script>

9、消息的已读和未读如何确定?

如果是自己打开个人中心页,那么当前所有的消息都是已读
可以在获取数据之后将消息置为已读

10、服务端一定要验证了才能操作数据库,不然很容易被客户端发起请求非法操作数据库,比如刷金币?

数据库的话就先查表,缓存的就查是否有这部分缓存数据

二、内容在总结中

 

legend3---16、网站的安全性问题的更多相关文章

  1. PHP开发网站,你是如何提高其网站的安全性的?

    一.网站程序问题 很多网站的安全问题大多是由于网站程序存在漏洞,所以想要提高网站安全性,必须要选择安全的后台cms系统,若有能力可以自己去开发网站后台,这样安全性能得到极大的提高,若是从网上选择一些免 ...

  2. 网站的安全性对seo优化至关重要-智狐SEO顾问

    网站的安全性对seo优化至关重要    作者:智狐zhihuseo 从大的范围来看,网站安全性能也属于seo的范畴之一.域名被恶意泛解析就是网站安全性能低下的特征之一,如果网站域名被恶意泛解析,会直接 ...

  3. GitHub Ribbons : 谈网站的安全性-资源链接如何 预防/实现 爬虫的批量下载!

    GitHub Ribbons : 谈网站的安全性-资源链接如何 预防/实现 爬虫的批量下载! 预防方法: 1. 使用随机数字符串,拼接URL! https://camo.githubuserconte ...

  4. PHP漏洞全解(一)-PHP网站的安全性问题

    本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型.同时介绍了PHP的几个重要参数设置.后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案. 针 ...

  5. 使用wapiti进网站进行安全性测试

    1.安装wapiti --在命令终端输入 pip install wapiti3 (因为这个结合python使用,所以安装的版本要跟python兼容,因为我的python是3.6版本,所以安装的是wa ...

  6. 【转】正确设置php-fpm子进程用户,提高网站安全性防挂马

    原文地址:http://www.myhack58.com/Article/60/61/2013/37209.htm 根据生产环境不断反馈,发现不断有 PHP网站被挂木马,绝大部分原因是因为权限设置不合 ...

  7. 正确设置nginx/php-fpm/apache权限 提高网站安全性 防止被挂木马

    核心总结:php-fpm/apache 进程所使用的用户,不能是网站文件所有者. 凡是违背这个原则,则不符合最小权限原则. 根据生产环境不断反馈,发现不断有 php网站被挂木马,绝大部分原因是因为权限 ...

  8. web安全性测试用例

    建立整体的威胁模型,测试溢出漏洞.信息泄漏.错误处理.SQL 注入.身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,29 ...

  9. 网站推广优化(SEO,网站关键字优化,怎么优化网站,如何优化网站关键字)

    网站推广优化教程100条(完整版)下面介绍新手建站推广完美教程,各位根据自己的实际情况酌情选用: 1.准备个好域名.①.尽量在5位数内,当然也不一定,反正要让用户好记.(看个人):②.尽量用顶级的域名 ...

随机推荐

  1. U-Boot补丁 S3C2440

    # tar xvf u-boot-1.1.6.tar.bz2 //解压 # cd u-boot-1.1.6/ 制作补丁文件 # diff -urN u-boot-1.1.6 u-boot-1.1.6. ...

  2. Python标准库3.4.3-urllib.request-21.6

    21.6. urllib.request — Extensible library for opening URLs 翻译:Z.F. The urllib.request module defines ...

  3. git使用——忽略文件

    一般我们总会有些文件无需纳入 Git 的管理,也不希望它们总出现在未跟踪文件列表. 通常都是些自动生成的文件,比如日志文件,或者编译过程中创建的临时文件等.git下有2种方式实现忽略文件的目的.方法一 ...

  4. C++——友元 friend

    人类社会的friend VS C++世界的friend 现实世界中,我们自己很多物品,朋友是可以使用的,但是陌生人就不行.那么money,朋友可以随便拿吗?这要是你和friend的关系深浅而定.人类社 ...

  5. 运维开发笔记整理-QueryDict对象

    运维开发笔记整理-QueryDict对象 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 客户端发送数据请求有很多种,相信运维人员已经很清楚了,如果不太清楚的话可以参考我之前的学习笔 ...

  6. es6中的Object.assign

    在写一些插件的时候,我们会经常遇到所传参数需要合并默认参数,并覆盖相同参数的情况,在jQuery中我们可以使用$.extend(),在原生中要想使用得自己封装, 但自从es6出现了Object.ass ...

  7. Go语言中的数据格式(json、xml 、msgpack、protobuf)

    在分布式的系统中,因为涉及到数据的传输,所以一定会进行数据的交换,此时就要定义数据交换的格式,例如二进制.Json.Xml等等.本篇文章就是总结一下常用的几种数据格式. 一.Json格式 如果想使用J ...

  8. 利用os模块求一个文件夹的大小。

    一.递归方法 def size(path): #给定一个初始的文件夹路径 num = 0 list_name = os.listdir(path) #利用os模块方法,以列表的形式获得该文件夹下面的所 ...

  9. Selenium(十四)处理登录框的验证码

    对于 web 应用来说,大部分的系统在用户登录时都要求用户输入验证码,验证码的类型的很多,有字母数字的,有汉字的,甚至还要用户输入一条算术题的答案的,对于系统来说使用验证码可以有效果的防止采用机器猜测 ...

  10. 请教一个问题关于JVM的,跪求大佬解答

    问题地址:https://blog.csdn.net/java_wxid/article/details/103021907