Heim >Backend-Entwicklung >PHP-Tutorial >PHP-Datenfilterung: Verhinderung von XSS- und CSRF-Angriffen

PHP-Datenfilterung: Verhinderung von XSS- und CSRF-Angriffen

PHPz
PHPzOriginal
2023-07-29 15:33:331429Durchsuche

PHP-Datenfilterung: XSS- und CSRF-Angriffe verhindern

Mit der Entwicklung des Internets ist die Netzwerksicherheit zu einem Schwerpunkt der Aufmerksamkeit der Menschen geworden. Bei der Website-Entwicklung ist es sehr wichtig, vom Benutzer übermittelte Daten zu filtern und zu überprüfen, insbesondere um XSS-Angriffe (Cross-Site-Scripting-Angriffe) und CSRF-Angriffe (Cross-Site-Request-Forgery-Angriffe) zu verhindern. In diesem Artikel wird erläutert, wie Sie mit PHP diese beiden häufigen Sicherheitslücken verhindern können, und es wird ein Beispielcode als Referenz bereitgestellt.

  1. Verhindern Sie XSS-Angriffe

XSS-Angriffe beziehen sich auf böswillige Angreifer, die den Inhalt von Webseiten manipulieren, indem sie bösartige Skripte oder Codes einschleusen, um vertrauliche Benutzerinformationen zu stehlen oder Malware zu verbreiten. Um XSS-Angriffe zu verhindern, müssen wir die vom Benutzer eingegebenen Daten filtern und maskieren.

(1) Verwenden Sie die Funktion htmlspecialchars(), um HTML-Sonderzeichen zu maskieren.

$name = $_POST['name'];
$filtered_name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8');

(2) Verwenden Sie reguläre Ausdrücke, um Benutzereingaben zu filtern.

$name = $_POST['name'];
$pattern = '/^[a-zA-Z0-9]+$/';
if (preg_match($pattern, $name)) {
    // 用户输入合法
} else {
    // 用户输入不合法
}
  1. CSRF-Angriffe verhindern

CSRF-Angriffe beziehen sich auf Angreifer, die nicht autorisierte Vorgänge ausführen, indem sie Benutzeranfragen fälschen, z. B. Benutzerinformationen ändern, böswillige Übertragungen initiieren usw. Um CSRF-Angriffe zu verhindern, können wir die folgenden Maßnahmen ergreifen.

(1) Verwenden Sie die CSRF-Token-Überprüfung.

session_start();
$csrf_token = bin2hex(random_bytes(32)); // 生成随机的令牌
$_SESSION['csrf_token'] = $csrf_token;

// 在表单中添加令牌
echo "<input type='hidden' name='csrf_token' value='{$csrf_token}'>";

// 验证令牌
if ($_POST['csrf_token'] === $_SESSION['csrf_token']) {
    // 令牌验证通过
} else {
    // 令牌验证失败
}

(2) Anfragequellen begrenzen.

if ($_SERVER['HTTP_REFERER'] !== 'http://www.example.com') {
    // 请求来源不合法
} else {
    // 请求来源合法
}

Zusammenfassend lässt sich sagen, dass das Filtern und Überprüfen der vom Benutzer übermittelten Daten ein wichtiger Schritt zur Gewährleistung der Website-Sicherheit ist. Durch das Maskieren von HTML-Sonderzeichen, die Verwendung regulärer Ausdrücke zum Filtern von Benutzereingaben, die Verwendung der CSRF-Token-Überprüfung und die Einschränkung von Anforderungsquellen können wir XSS- und CSRF-Angriffe wirksam verhindern. Sicherheit ist jedoch ein fortlaufender Prozess und wir müssen die Sicherheitsmaßnahmen ständig aktualisieren und verstärken, um die Sicherheit der Website zu verbessern.

Referenzmaterialien:

  • Offizielle PHP-Dokumentation (https://www.php.net/)
  • OWASP-Offizielle Website (https://owasp.org/)

Das obige ist der detaillierte Inhalt vonPHP-Datenfilterung: Verhinderung von XSS- und CSRF-Angriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn