[手把手教]开发dz插件——保证插件的安全

想必大家都知道。一个程序的安全性是取决于它最容易被攻破的地方的。一个插件如果有安全性问题，基本上就被直接否决了，所以，对安全问题我们一定不能轻视。

对于非直接执行的程序所谓非直接运行的程序，就是你那个程序不应该直接通过地址访问的。比如，新核心开发中的页面嵌入和特殊主题的类都是如此。
对于此类程序，务必在开头加上这么一段代码：

• if(!defined('IN_DISCUZ')) {        exit('Access Denied');}
  

复制代码
这一段代码是保证你的持续运行在dz中而非直接通过浏览器访问。（思考一下，为什么要这么做？）
过滤变量你没法保证递交的变量是怎样的，所以得过滤。给几个例子：

• 1.uid：$uid=intval($uid);
• 2.page：$page=max(1,intval($page));
  

复制代码
注意，使用intval后，一定要想一想，自己这个变量是不是应该非负的？如果是的话，得加个判断语句，或者用abs,max等函数处理下
对于文字内容，记得使用htmlspecialchars（dhtmlspecialchars）
写入数据库时的注意事项
要进数据库的变量一定得addslashes(DZ内为daddslashes,如用DZ无须再次过滤,DZ已将所有$_POST和$_GET过滤)，当然，如果你进的是数字（比如uid，并且已经intval过），或者是其他一些肯定不会出错的，那么你可以不做这一步。
在写sql语句时，变量一定得记得用’框起来。如果变量是字符串，不这么做会出错。如果是数字不这么做不会提示出错，但是有可能有注入的危险。
数组的运用
数组在运用前记得写$xxx = array();
原因很简单,防止用户提交恶意的值。之前某个宠物系统就爆出过这个漏洞。

转自：网络（具体原文不祥）

哇 前排支持

学习学习

前排学习.

不懂！学习下！

好文章！！谢谢！

好好看看，非常好的经验分享

www.taolebu.com

留名支持！