是的，肯定还有很多。我建议您从阅读OWASP Top 10开始。每个 Web 开发人员都需要熟悉这些威胁类别中的每一个。

此外，这里有一些关于网络安全的很好的介绍：

• 对开发人员的出色概述——这应该是每个从事 Web 开发的程序员的必读之书。
• Google Code University 的网络安全教程

PS 确保您了解的其他一些类别：路径遍历、会话管理、安全密码存储、点击劫持、网络钓鱼、站点范围的 SSL。

SANS每年都会发布一份排名前 25 位的危险软件错误列表。其中一些（或更多）将与您的应用程序相关。

您的产品中可能存在 SANS 或 OWASP 列表中未涵盖的其他漏洞，但这些是一个很好的起点。因为它们非常常见，攻击者（包括脚本小子）和研究人员将能够非常快速地找到并利用此处发现的任何漏洞。这也是一个很好的练习，可以尝试在你的代码中识别这些漏洞，弄清楚你将如何解决它们，你是否有（或需要）任何工具来提供帮助，以及如何将这些工作融入你的开发周期以确保vulns 不会被重新引入。

在某些时候，您需要自己动手，并专门检查您的应用程序。通过查看用户如何使用您的应用程序以及“您的”攻击者如何滥用它，这是您找到特定于您的域的问题的唯一方法。

也许您可能想看看这篇文章。

我看到了更多的点（owasp 前 10 名中也没有提到）

• 远程代码执行- 可以使用 php.ini / disable_functions 缓解
• DOS