8 PHP-Sicherheitsfunktionen, die es wert sind, beachtet zu werden

Im modernen Internet müssen wir häufig Eingabedaten von Benutzern auf der ganzen Welt einholen. Wir alle wissen jedoch: „Vertrauen Sie niemals den vom Benutzer eingegebenen Daten.“ Daher werden in verschiedenen Webentwicklungssprachen Funktionen bereitgestellt, um die Sicherheit der Benutzereingabedaten zu gewährleisten. In PHP gibt es einige sehr nützliche und praktische Funktionen, die Ihrer Website helfen können, Probleme wie SQL-Injection-Angriffe, XSS-Angriffe usw. zu verhindern. Natürlich heben IDEs (wie PhpStorm und Zend Studio) beim Schreiben von PHP-Code die Verwendung von Code-Verschleierungstools hervor, um diese Funktionen oder Codes zu schützen (wie Zend Guard). Wird verwendet, um die Nutzung und Sicherheit von PHP-Funktionen sicherzustellen. Heute werfen wir hauptsächlich einen Blick darauf, wie diese Funktionen definiert sind und funktionieren.

1. mysql_real_escape_string()

Diese Funktion ist sehr hilfreich, um SQL-Injection-Angriffe in PHP zu verhindern. Sie fügt Sonderzeichen wie einfache Anführungszeichen und doppelte Anführungszeichen hinzu Stellen Sie sicher, dass die Benutzereingaben sicher sind, bevor Sie sie zur Abfrage verwenden. Beachten Sie jedoch, dass Sie diese Funktion nutzen, während Sie mit der Datenbank verbunden sind.

Aber jetzt wird die Funktion mysql_real_escape_string() grundsätzlich nicht mehr benötigt. Bei der gesamten Entwicklung neuer Anwendungen sollten Bibliotheken wie PDO zum Betrieb der Datenbank verwendet werden. Mit anderen Worten: Wir können vorgefertigte Anweisungen verwenden, um SQL-Injection-Angriffe zu verhindern.

2. addslashes()

Diese Funktion ist der oben genannten mysql_real_escape_string() sehr ähnlich. Achten Sie jedoch darauf, diese Funktion nicht zu verwenden, wenn der Wert von magic_quotes_gpc in der Einstellungsdatei php.ini „on“ ist. Standardmäßig ist magic_quotes_gpc aktiviert und führt automatisch addslashes() für alle GET-, POST- und COOKIE-Daten aus. Verwenden Sie addslashes() nicht für Zeichenfolgen, die von magic_quotes_gpc maskiert wurden, da dies zu doppeltem Escapezeichen führt. Sie können den Wert dieser Variablen über die Funktion get_magic_quotes_gpc() in PHP überprüfen.

3. htmlentities()

Diese Funktion ist sehr nützlich zum Filtern von Benutzereingabedaten. Sie kann Zeichen in HTML-Entitäten konvertieren. Wenn der Benutzer beispielsweise das Zeichen „<“ eingibt, wird es von dieser Funktion in die HTML-Entität < umgewandelt und verhindert so XSS- und SQL-Injection-Angriffe.

4. htmlspecialchars()

Einige Zeichen in HTML haben spezielle Bedeutungen, diese müssen in HTML-Entitäten umgewandelt werden Beispielsweise wird „&“ in „&“ umgewandelt.

5. strip_tags()

Diese Funktion kann alle HTML-, JavaScript- und PHP-Tags in der Zeichenfolge entfernen. Natürlich können Sie auch einige spezifische Parameter festlegen, indem Sie den zweiten Parameter der Funktion festlegen . Etikett erscheint.

6. md5()

Einige Entwickler speichern sehr einfache Passwörter, was aus Sicherheitsgründen nicht gut ist. Die md5()-Funktion kann 32 der angegebenen MD5-Zeichenfolge generieren , und dieser Vorgang ist irreversibel, das heißt, Sie können die ursprüngliche Zeichenfolge nicht aus dem Ergebnis von md5() erhalten.

7. sha1()

Diese Funktion ähnelt md5() oben, verwendet jedoch einen anderen Algorithmus und erzeugt einen 40-stelligen SHA-1-Hash (md5 generiert einen 32-stelligen SHA-1-Hash). Zeichen-Hash).

8. intval()

Lachen Sie nicht, ich weiß, dass dies keine sicherheitsrelevante Funktion ist, sondern Variablen in Ganzzahltypen umwandelt. Sie können diese Funktion jedoch verwenden, um Ihren PHP-Code sicherer zu machen, insbesondere wenn Sie Daten wie ID und Alter analysieren.