假设硬删除，那某个人恶意建了删删了建（虽然相册总数做了限制），id 就会留下许多“空洞” 那有什么问题么? MySQL 的自增主键本来就只保证递增,不保证依次.

1，根据字段状态，来判断当前登陆用户几人2，根据登陆时间开始计时，1分钟自动token过期3，恶意刷新，还没想好。希望能看到其他大神的精彩回答，

你这个应该是网站被黑了，首页被篡改。劫持百度搜索后调到恶意域名 看看文件头部有没有这个东西，删除之后，加固下网站，不然还有下一波

其实https保护的并不是保护服务端不被恶意请求。最重要的还是后端做好逻辑处理，做到即使是伪客户端的请求，也不会 对业务影响而引发数据错误。

没有办法。 所以如果想要过滤恶意请求，就尽量别动这方面的歪脑筋。做过滤就老老实实按照账号做过滤，按照IP过滤只能作为辅助手段。

将代码放入另一个域名下的页面中，采用一个iframe方式将这个页面在主页面展示，利用浏览器的对跨域的安全限制，即使是恶意代码，运行了也不会产生太大危害。

最简单的办法，ui传来的过滤条件名字即为sql中查询的字段名，值也和sql中一样，sql拼接采用?传参方式。 这样做，你最好能加入验证来防止恶意传参的行为

楼上有说限制IP的，这个很好，我来稍稍完善一下，限制IP的同时可以再次区分下浏览器等物理因素，像百度广告的防止恶意点击就做得非常好，咱们可以参考下

可以在文件头部添加 <!--headTrap<body></body><head></head><html></html>--> 避免运营商劫持还可以添加 Content-Security-Policy 来禁止恶意注入外部脚本

阿里云盾 报恶意进程（云查杀）-DDOS木马：可疑文件路径如下/tmp/prop/tmp/dbus/tmp/mingety/tmp/pluto/tmp/iscsd但这些文件夹都找不到我用clamav 扫描整个根目录也没找到任何木马

① 请问七牛云存储怎么改成带宽？② 七牛云能不能设置成欠费自动停掉服务③ 由于七牛云没有以上措施，那么如果收到恶意攻击怎么办？后果谁负责呢？

sleep的方法不靠谱，sleep会阻塞进程，sleep后是无法给其他请求提供服务的。你php的进程就那么多，有点阻塞操作都可能影响吞吐量，怎么能sleep呢。延迟返回的方案还有个问题，既然是恶意刷，他一定有办法可以同时发多个请求，那么延迟返回并不能根本上减少他的请求次数，反而造成请求在服务器积压。如果用你们自己的客户...

出于安全考虑，浏览器会阻止跨域设置cookie.举个例子：比如一个恶意网站的页面通过iframe嵌入了银行的登录页面（二者不同源），如果没有同源限制，恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。所谓同源：URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同...

偏运营角度来讲 注册用户不会对已有正常会员造成直接损失 可能对应用造成的影响 1.db里的垃圾数据 2.带宽 服务器性能不足时 大批量的恶意注册可能导致正常业务的缓慢 3.一些应用场景 比如新浪微博 僵尸粉 水军之类的 4.... 既然注册&登陆 技术不好解决 就还是做好业务监控 做到遭受攻击时可以马上获取相关信息 并能...

渲染要打开转义扩展，比如我在用的misakatables生成表格fenced-code用<pre><code>打包｀｀｀内容，前端再用highlightjs上色escape转义raw html，防止恶意script还有一堆其他的，自己google看具体作用。

把入口文件放在public目录下，形成单入口通道，这样除了你的入口文件index.php之外，其他所有的php文件都是不可以被浏览器直接访问到的，这样规避了一些恶意的请求。

用了火狐noscript插件，怕小网站有恶意脚本。用lastpass分层管理自己密码，几乎一个站点一个密码。外面的wifi都不敢随便用，支付宝什么的都用流量。你不干其他事不用经常挂代理吧