跟蹤數據

作為一個有安全意識的開發者，最重要的一件事就是隨時跟蹤數據。不只是要知道它是什么和它在哪里，還要知道它從哪里來，要到哪里去。有時候要做到這些是困難的，特別是當你對WEB的運做原理沒有深入理解時。這也就是為什么盡管有些開發者在其它開發環境中很有經驗，但他對WEB不是很有經驗時，經常會犯錯并制造安全漏洞。

大多數人在讀取EMAIL時，一般不會被題為'Re: Hello'之類的垃圾郵件所欺騙，因為他們知道，這個看起來像回復的主題是能被偽造的。因此，這封郵件不一定是對前一封主題為'Hello.'的郵件的回復。簡而言之，人們知道不能對這個主題不能太信任。但是很少有人意識到發件人地址也能被偽造，他們錯誤地認為它能可靠地顯示這個EMAIL的來源。

Web也非常類似，我想教給大家的其中一點是如何區分可信的和不可信的數據。做到這一點常常是不容易的，盲目的猜測并不是辦法。

PHP通過超級全局數組如$_GET, $_POST, 及$_COOKIE清楚地表示了用戶數據的來源。一個嚴格的命名體系能保證你在程序代碼的任何部分知道所有數據的來源，這也是我一直所示范和強調的。

知道數據在哪里進入你的程序是極為重要的，同時知道數據在哪里離開你的程序也很重要。例如，當你使用echo指令時，你是在向客戶端發送數據；當你使用mysql_query時，你是在向MySQL數據庫發送數據（盡管你的目的可能是取數據）。

在我審核PHP代碼是否有安全漏洞時，我主要檢查代碼中與外部系統交互的部分。這部分代碼很有可能包含安全漏洞，因此，在開發與代碼檢查時必須要加以特別仔細的注意。