Heim > Artikel > Backend-Entwicklung > Grundlegende Sicherheitspraktiken zum Schutz Ihrer PHP-Anwendung vor häufigen Schwachstellen
Um Ihre PHP-Anwendung zu schützen, müssen Sie sie vor häufigen Schwachstellen wie SQL-Injection, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF), Session-Hijacking und Dateieinschluss schützen Angriffe. Hier ist ein praktisches Beispiel mit einer Teil-für-Teil-Beschreibung, die Ihnen hilft zu verstehen, wie Sie Ihre PHP-Anwendung sichern.
SQL-Injection liegt vor, wenn ein Angreifer schädliche SQL-Anweisungen in Ihre Abfragen einschleusen kann. Verwenden Sie vorbereitete Anweisungen mit parametrisierten Abfragen, um dies zu vermeiden.
Beispiel:
<?php // Insecure version $user_id = $_GET['id']; $query = "SELECT * FROM users WHERE id = '$user_id'"; $result = mysqli_query($connection, $query); // Secure version $user_id = $_GET['id']; $stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $user_id); // "i" for integer $stmt->execute(); $result = $stmt->get_result(); ?>
Erklärung:
XSS tritt auf, wenn Angreifer bösartige Skripte in Webseiten einschleusen, die von anderen Benutzern angezeigt werden. Um dies zu vermeiden, Ausgabe immer bereinigen und kodieren.
Beispiel:
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . "</p>"; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
Erklärung:
CSRF tritt auf, wenn ein Angreifer einen Benutzer dazu verleitet, ohne dessen Wissen Aktionen auf einer Website auszuführen. Schützen Sie sich vor CSRF, indem Sie Token verwenden.
Beispiel:
<?php // Generate CSRF token session_start(); if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } // Add token to form echo '<form method="POST" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="Submit">'; echo '</form>'; ?>
In subscribe.php:
<?php session_start(); if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) { die("CSRF token validation failed."); } // Process form data $data = $_POST['data']; ?>
Erklärung:
Sichern Sie Ihre Sitzungen, um Session-Hijacking zu vermeiden. Dazu gehört das Festlegen strenger Sitzungskonfigurationen und das Neugenerieren von Sitzungs-IDs.
Beispiel:
<?php session_start(); // Regenerate session ID to avoid fixation attacks session_regenerate_id(true); // Configure secure session parameters ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies ini_set('session.cookie_secure', 1); // Ensure cookies are sent over HTTPS ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs // Set session timeout $_SESSION['LAST_ACTIVITY'] = time(); // update last activity time if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout session_unset(); session_destroy(); session_start(); } ?>
Erklärung:
Uneingeschränkte Datei-Uploads können dazu führen, dass schädliche Dateien hochgeladen und ausgeführt werden. Dateitypen immer validieren und sie sicher speichern.
Beispiel:
<?php // Insecure version $user_id = $_GET['id']; $query = "SELECT * FROM users WHERE id = '$user_id'"; $result = mysqli_query($connection, $query); // Secure version $user_id = $_GET['id']; $stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $user_id); // "i" for integer $stmt->execute(); $result = $stmt->get_result(); ?>
Erklärung:
Ein CSP-Header kann dazu beitragen, XSS- und Dateninjektionsangriffe zu verhindern, indem er begrenzt, woher Ressourcen geladen werden können.
Beispiel (muss in der .htaccess-Datei oder Serverkonfiguration hinzugefügt werden):
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . "</p>"; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
Erklärung:
Verwenden Sie Eingabevalidierung und -bereinigung, um verschiedene Arten von Injektionen zu verhindern.
Beispiel:
<?php // Generate CSRF token session_start(); if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } // Add token to form echo '<form method="POST" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="Submit">'; echo '</form>'; ?>
Erklärung:
Durch die Implementierung dieser Methoden wird Ihre PHP-Anwendung besser vor häufigen Schwachstellen geschützt. Es ist wichtig, über Best Practices auf dem Laufenden zu bleiben und konsequent Sicherheitsmaßnahmen auf Ihren Code anzuwenden.
Vernetzen Sie sich mit mir: @ LinkedIn und sehen Sie sich mein Portfolio an.
Bitte geben Sie meinen GitHub-Projekten einen Stern ⭐️
Das obige ist der detaillierte Inhalt vonGrundlegende Sicherheitspraktiken zum Schutz Ihrer PHP-Anwendung vor häufigen Schwachstellen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!