双引号与单引号的区别

双引号会解析变量,单引号不会解析变量

字符串截取函数

substr()

字符串查找

stripos() 第一次出现
strripos() 最后一次出现

Csrf 详解

  • 验证码
  • Referer Check
  • Csrf-Token
  • 自定义的 HTTP Header 头

XSS 跨站脚本攻击

XSS 攻击本质上是利用客户端恶意的插入 JS 代码,当用户浏览被恶意注入的页面时,JS 脚本会被执行,从而达到恶意攻击用户的目的,更加危害的是还可以做到对服务器的攻击。
XSS 的危害:

  • 网页挂🐴
  • 获取浏览器 Cookie 或者 Token,伪造用户身份登陆;
  • 钓鱼攻击;

除了以上三种危害,XSS 攻击的危害还有很多种,毕竟有一大群人乐此不疲的研究这类相关技术。既然有攻击手段,那么肯定也存在相应的防御手段。

解决方案:使用白名单机制,扩展包:purifier

序列化与反序列化

如果序列化了一个类,在反序列化回来后,之前的那个类被删除了,那么序列化出来的就是一个未知的类

单列模式

私有化构造函数,限制 __clone 魔术方法。