Heim  >  Artikel  >  Backend-Entwicklung  >  Praktische Tutorials zu Filterung und Verifizierung sowie Escape und Passwörtern in PHP

Praktische Tutorials zu Filterung und Verifizierung sowie Escape und Passwörtern in PHP

黄舟
黄舟Original
2017-07-24 14:40:431374Durchsuche

Wenn wir Anwendungen entwickeln, haben wir im Allgemeinen eine Konvention: Vertrauen Sie keinen Daten aus Datenquellen, die nicht unter Ihrer Kontrolle stehen. Zu diesem Zeitpunkt werden in diesem Artikel hauptsächlich die relevanten Informationen zu Filterung, Verifizierung, Escape und Passwörtern in praktischen Tutorials vorgestellt. Lassen Sie uns gemeinsam einen Blick darauf werfen.

Dieser Artikel stellt Ihnen hauptsächlich den Inhalt im Zusammenhang mit Filterung, Verifizierung, Escape und Passwörtern in der PHP-Praxis vor. Ich werde im Folgenden nicht viel sagen, werfen wir einen Blick darauf Details. Einleitung:

1. Filtern, Verifizieren und Escapen

1). Steuerdaten. Einschließlich, aber nicht beschränkt auf:

  • $_GET

  • $_POST

  • $_REQUEST

  • $_COOKIE

  • $argv

  • php://stdin

  • php://input

  • file_get_contents()

  • Remote-Datenbank

  • Remote-API

  • Daten vom Client

2). Um unsichere Zeichen zu entfernen, müssen Daten gefiltert werden, bevor sie die Speicherschicht der Anwendung erreichen. Zu den Daten, die gefiltert werden müssen, gehören unter anderem: HTML, SQL-Abfragen und Benutzerprofilinformationen.

  • HTML: Verwenden Sie die Funktion htmlentities(), um HTML in entsprechende Entitäten zu filtern. Diese Funktion maskiert die angegebenen HTML-Zeichen für eine sichere Darstellung auf der Speicherebene. Die richtige Verwendung besteht darin, htmlentities($input, ENT_QUOTES, 'UTF-8') zum Filtern der Eingabe zu verwenden. Oder verwenden Sie HTML Purifier. Nachteil ist langsam

  • SQL-Abfrage: Manchmal muss eine SQL-Abfrage basierend auf den Daten erstellt werden. Zu diesem Zeitpunkt müssen Sie PDO-Vorverarbeitungsanweisungen verwenden, um externe Daten zu filtern.

  • Benutzerprofilinformationen: Verwenden Sie filter_var() und filter_input(), um Benutzerprofilinformationen zu filtern

3). Verwenden Sie filter_var(). Wenn die Überprüfung erfolgreich ist, wird der zu überprüfende Wert zurückgegeben, und wenn sie fehlschlägt, wird false zurückgegeben. Da diese Funktion jedoch nicht alle Daten überprüfen kann, können einige Komponenten der Überprüfungsfunktion verwendet werden. Zum Beispiel aura/filter oder symfony/validator

4) Escape-Ausgabe: Sie können weiterhin die Funktion htmlentities verwenden, und einige Template-Engines verfügen auch über eigene Escape-Funktionen.

Passwort

1).

2) Beschränken Sie niemals das Passwort des Benutzers. Wenn Sie es einschränken möchten, beschränken Sie es nur auf die Mindestlänge.

3). Verwenden Sie niemals E-Mail, um Benutzerpasswörter zu versenden. Sie können einen Link zum Ändern des Passworts mit einem Token senden, um zu überprüfen, ob es sich um den Benutzer handelt.

4). Verwenden Sie bcrypt, um den Hashwert des Benutzerpassworts zu berechnen. Verschlüsselung und Hashing sind nicht dasselbe. Verschlüsselung ist ein Zwei-Wege-Algorithmus und die verschlüsselten Daten können entschlüsselt werden. Beim Hashing handelt es sich jedoch um einen einzelnen Algorithmus, und die Daten nach dem Hashing können nicht wiederhergestellt werden. Die nach dem Hashing erhaltenen Daten sind immer dieselben. Verwenden Sie eine Datenbank, um den Wert zu speichern, nachdem Sie das Passwort mit bcrypt gehasht haben.

5). Verwenden Sie die Passwort-Hash-API, um die Berechnung von Passwort-Hashes und die Überprüfung von Passwörtern zu vereinfachen. Die folgenden allgemeinen Vorgänge für registrierte Benutzer


POST /register.php HTTP/1.1
Content-Length: 43
Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao

Das Folgende ist die PHP-Datei, die diese Anfrage akzeptiert


<?php
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;, FILTER_VALIDATE_EMAIL);
 if (!$email) {
  throw new Exception(&#39;Invalid email&#39;);
 }
 $password = filter_iput(INPUT_POST, &#39;password&#39;);
 if (!$password || mb_strlen($password) < 8) {
  throw new Exception(&#39;Password must contain 8+ characters&#39;);
 }
 //创建密码的哈希值
 $passwordHash = password_hash(
  $password,
  PASSWORD_DEFAULT,
  [&#39;cost&#39; => 12]
  );

 if ($passwordHash === false) {
  throw new Exception(&#39;Password hash failed&#39;);
 }

 //创建用户账户,这里是虚构的代码
 $user = new User();
 $user->email = $email;
 $user->password_hash = $passwordHash;
 $user->save();
 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /login.php&#39;);
} catch (Exception $e) {
 header(&#39;HTTP1.1 400 Bad Request&#39;);
 echo $e->getMessage();
}

6). Ändern Sie den dritten Wert von password_hash() entsprechend der spezifischen Rechenleistung der Maschine. Die Berechnung des Hashwerts dauert im Allgemeinen 0,1 bis 0,5 Sekunden.

7). Der Hashwert des Passworts wird in einer Datenbankspalte vom Typ varchar(255) gespeichert.

8). Allgemeiner Prozess zum Anmelden von Benutzern


POST /login.php HTTP1.1
Content-length: 43
Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao


session_start();
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;);
 $password = filter_iinput(INPUT_POST, &#39;password&#39;);

 $user = User::findByEmail($email);

 if (password_verify($password, $user->password_hash) === false) {
  throw new Exception(&#39;&#39;Invalid password);
 }

 //如果需要的话,重新计算密码的哈希值
 $currentHasAlgorithm = PASSWORD_DEFAULT;
 $currentHashOptions = array(&#39;cost&#39; => 15);
 $passwordNeedsRehash = password_needs_rehash(
  $user->password_hash,
  $currentHasAlgorithm,
  $currentHasOptions
 );
 if ($passwordNeedsRehash === true) {
  $user->password_hash = password_hash(
   $password,
   $currentHasAlgorithm,
   $currentHasOptions
  );

  $user->save();
 }

 $_SESSION[&#39;user_logged_in&#39;] = &#39;yes&#39;;
 $_SESSION[&#39;user_email&#39;] = $email;

 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /user-profile.php&#39;);
} catch (Exception) {
 header(&#39;HTTP/1.1 401 Unauthorized&#39;);
 echo $e->getMessage();
}

9) . Die Passwort-Hashing-API vor PHP5.5.0 kann nicht verwendet werden. Es wird empfohlen, die Komponente ircmaxell/password-compat zu verwenden.

Zusammenfassung

Das obige ist der detaillierte Inhalt vonPraktische Tutorials zu Filterung und Verifizierung sowie Escape und Passwörtern in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn