共享博客保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践
保护您的 php 应用程序涉及保护其免受常见漏洞的影响,例如 sql 注入、跨站点脚本 (xss)、跨站点请求伪造 (csrf)、会话劫持和文件包含攻击。这是一个带有逐部分描述的实践示例,可帮助您了解如何保护 php 应用程序。
1. 防止sql注入
当攻击者可以将恶意 sql 语句注入您的查询时,就会发生 sql 注入。将准备好的语句与参数化查询一起使用可以避免这种情况。
示例:
<?php// insecure version$user_id = $_get['id'];$query = "select * from users where id = '$user_id'";$result = mysqli_query($connection, $query);// secure version$user_id = $_get['id'];$stmt = $connection->prepare("select * from users where id = ?");$stmt->bind_param("i", $user_id); // "i" for integer$stmt->execute();$result = $stmt->get_result();?>说明:
2. 防止跨站脚本(xss)
当攻击者将恶意脚本注入其他用户查看的网页时,就会发生 xss。为了避免这种情况,请始终对输出进行清理和编码。
立即学习“PHP免费学习笔记(深入)”;
示例:
<?php// insecure versionecho "<p>welcome, " . $_get['username'] . "</p>";// secure versionecho "<p>welcome, " . htmlspecialchars($_get['username'], ent_quotes, 'utf-8') . "</p>";?>
说明:
3. 防止跨站请求伪造(csrf)
当攻击者诱骗用户在用户不知情的情况下在网站上执行操作时,就会发生 csrf。通过使用令牌来防止csrf。
示例:
<?php// generate csrf tokensession_start();if (empty($_session['csrf_token'])) { $_session['csrf_token'] = bin2hex(random_bytes(32));}// add token to formecho '<form method="post" action="submit.php">';echo '<input type="hidden" name="csrf_token" value="' . $_session['csrf_token'] . '">';echo '<input type="text" name="data">';echo '<input type="submit" value="submit">';echo '</form>';?>在submit.php中:
<?phpsession_start();if ($_post['csrf_token'] !== $_session['csrf_token']) { die("csrf token validation failed.");}// process form data$data = $_post['data'];?>说明:
4. 防止会话劫持
保护您的会话以避免会话劫持。这包括设置严格的会话配置和重新生成会话id。
示例:
<?phpsession_start();// regenerate session id to avoid fixation attackssession_regenerate_id(true);// configure secure session parametersini_set('session.cookie_httponly', 1); // prevent javascript access to session cookiesini_set('session.cookie_secure', 1); // ensure cookies are sent over httpsini_set('session.use_strict_mode', 1); // prevent accepting uninitialized session ids// set session timeout$_session['last_activity'] = time(); // update last activity timeif (time() - $_session['last_activity'] > 1800) { // 30 minutes timeout session_unset(); session_destroy(); session_start();}?>说明:
5. 安全文件上传
不受限制的文件上传可能会导致恶意文件被上传并执行。始终验证文件类型并安全地存储它们。
示例:
<?php$allowed_extensions = ['jpg', 'jpeg', 'png', 'gif'];$file_name = $_files['file']['name'];$file_extension = pathinfo($file_name, pathinfo_extension);// check file extensionif (!in_array($file_extension, $allowed_extensions)) { die("invalid file type.");}// store in a safe location (outside web root) with a unique name$target_dir = "/var/www/uploads/";$target_file = $target_dir . basename($file_name);if (move_uploaded_file($_files['file']['tmp_name'], $target_file)) { echo "file uploaded successfully.";} else { echo "file upload failed.";}?>说明:
6. 使用内容安全策略 (csp)
csp 标头可以通过限制资源加载位置来帮助防止 xss 和数据注入攻击。
示例(要添加到 .htaccess 文件或服务器配置中):
header set content-security-policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://trustedscripts.com"
说明:
7. 输入验证和清理
使用输入验证和清理来防止各种类型的注入。
示例:
<?php// Validate integer input$age = filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT);if ($age === false) { die("Invalid age value.");}// Sanitize string input$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);?>说明:
通过实施这些方法,您的 php 应用程序将得到更好的保护,免受常见漏洞的影响。保持最新的最佳实践并对您的代码持续应用安全措施非常重要。
与我联系:@ linkedin 并查看我的作品集。
请给我的 github 项目一颗星 ⭐️
-
PHP 函数中如何使用递归来求最小公倍数?
在 php 中,可以使用递归求最小公倍数:定义递归函数 lcm($num1, $num2);递归基案例:如果其中一个数为...
PHP
1天前 11 -
PHP 函数中使用引用的高级技巧和用法
php引用允许变量链接到其原始值,使对变量的更改反映在原始值上。使用引用有两种主要高级技巧:传递按引用:通过在参数前添加...
PHP
1天前 11 -
PHP 函数中引用传递与函数调用栈的关系
php 中的引用传递在函数调用栈中影响函数参数的存储,使得函数可以直接修改实参的值;它通过地址传参,当修改参数时,主函数...
PHP
1天前 11 -
PHP 函数中引用传递的深浅拷贝问题
php 中引用传递默认是深拷贝,即创建原对象的副本,修改新对象不会影响原对象。浅拷贝只复制原对象的引用,修改新对象也会影...
PHP
1天前 9 -
PHP 函数中如何使用递归来实现深度优先搜索?
使用 php 函数中的递归实现深度优先搜索 (dfs) 算法。该算法以树或图形的根节点开始,递归地遍历相邻节点,直到达到...
PHP
1天前 10