Grundlegende Sicherheitspraktiken zum Schutz Ihrer PHP-Anwendung vor häufigen Schwachstellen

Um Ihre PHP-Anwendung zu schützen, müssen Sie sie vor häufigen Schwachstellen wie SQL-Injection, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF), Session-Hijacking und Dateieinschluss schützen Angriffe. Hier ist ein praktisches Beispiel mit einer Teil-für-Teil-Beschreibung, die Ihnen hilft zu verstehen, wie Sie Ihre PHP-Anwendung sichern.

1. SQL-Injection verhindern

SQL-Injection liegt vor, wenn ein Angreifer schädliche SQL-Anweisungen in Ihre Abfragen einschleusen kann. Verwenden Sie vorbereitete Anweisungen mit parametrisierten Abfragen, um dies zu vermeiden.

Beispiel:

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

Erklärung:

• Vorbereitete Anweisungen trennen die SQL-Abfrage von den Daten und verhindern so die Einschleusung von Schadcode.
• bind_param bindet die $user_id an die SQL-Anweisung, ohne dass eine direkte Eingabe die Abfragestruktur ändern kann.

2. Cross-Site Scripting (XSS) verhindern

XSS tritt auf, wenn Angreifer bösartige Skripte in Webseiten einschleusen, die von anderen Benutzern angezeigt werden. Um dies zu vermeiden, Ausgabe immer bereinigen und kodieren.

Beispiel:

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

Erklärung:

• htmlspecialchars konvertiert Sonderzeichen (wie < und >) in HTML-Entitäten und neutralisiert alle in Benutzereingaben eingebetteten Skripte.
• ENT_QUOTES entgeht sowohl einfache als auch doppelte Anführungszeichen, was die Ausgabe in HTML-Attributen sicherer macht.

3. Cross-Site Request Forgery (CSRF) verhindern

CSRF tritt auf, wenn ein Angreifer einen Benutzer dazu verleitet, ohne dessen Wissen Aktionen auf einer Website auszuführen. Schützen Sie sich vor CSRF, indem Sie Token verwenden.

Beispiel:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>

In subscribe.php:

<?php
session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token validation failed.");
}

// Process form data
$data = $_POST['data'];
?>

Erklärung:

• Pro Sitzung wird ein eindeutiges CSRF-Token generiert und als verstecktes Feld im Formular hinzugefügt.
• Beim Absenden des Formulars wird der Token überprüft. Wenn es nicht mit dem gespeicherten Sitzungstoken übereinstimmt, wird die Anfrage abgelehnt.

4. Sitzungshijacking verhindern

Sichern Sie Ihre Sitzungen, um Session-Hijacking zu vermeiden. Dazu gehört das Festlegen strenger Sitzungskonfigurationen und das Neugenerieren von Sitzungs-IDs.

Beispiel:

<?php
session_start();

// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);

// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1);   // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs

// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
    session_unset();
    session_destroy();
    session_start();
}
?>

Erklärung:

• session_regenerate_id(true) generiert eine neue Sitzungs-ID und verringert so das Risiko einer Sitzungsfixierung.
• Das Festlegen von cookie_httponly und cookie_secure trägt dazu bei, Cookie-Diebstahl zu verhindern, indem JavaScript und unsicherer Zugriff (nicht HTTPS) eingeschränkt werden.

5. Sichere Datei-Uploads

Uneingeschränkte Datei-Uploads können dazu führen, dass schädliche Dateien hochgeladen und ausgeführt werden. Dateitypen immer validieren und sie sicher speichern.

Beispiel:

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

Erklärung:

• Lassen Sie nur bestimmte Dateitypen zu, indem Sie die Dateierweiterung mit einem Array zulässiger Typen vergleichen.
• Speichern Sie Dateien außerhalb des Webstamms und verwenden Sie move_uploaded_file, um sicherzustellen, dass sie nicht über eine direkte URL zugänglich sind.

6. Content Security Policy (CSP) verwenden

Ein CSP-Header kann dazu beitragen, XSS- und Dateninjektionsangriffe zu verhindern, indem er begrenzt, woher Ressourcen geladen werden können.

Beispiel (muss in der .htaccess-Datei oder Serverkonfiguration hinzugefügt werden):

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

Erklärung:

• Dieser CSP beschränkt das Laden von Ressourcen nur vom selben Ursprung (selbst), und JavaScript von TrustedScripts.com ist zulässig.
• Dadurch wird verhindert, dass externe Skripte oder nicht vertrauenswürdige Ressourcen geladen werden, wodurch XSS-Risiken reduziert werden.

7. Eingabevalidierung und -bereinigung

Verwenden Sie Eingabevalidierung und -bereinigung, um verschiedene Arten von Injektionen zu verhindern.

Beispiel:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>

Erklärung:

• FILTER_VALIDATE_INT prüft, ob das Alter eine gültige Ganzzahl ist.
• FILTER_SANITIZE_STRING entfernt alle HTML-Tags oder Sonderzeichen aus dem Benutzernamen.

Durch die Implementierung dieser Methoden wird Ihre PHP-Anwendung besser vor häufigen Schwachstellen geschützt. Es ist wichtig, über Best Practices auf dem Laufenden zu bleiben und konsequent Sicherheitsmaßnahmen auf Ihren Code anzuwenden.

Vernetzen Sie sich mit mir: @ LinkedIn und sehen Sie sich mein Portfolio an.

Bitte geben Sie meinen GitHub-Projekten einen Stern ⭐️

Das obige ist der detaillierte Inhalt vonGrundlegende Sicherheitspraktiken zum Schutz Ihrer PHP-Anwendung vor häufigen Schwachstellen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!