Maison >développement back-end >tutoriel php >Conseils de protection des formulaires PHP : utilisez des scripts backend de protection
Avec le développement continu de la technologie Internet, les formulaires Web sont devenus l'une des fonctions indispensables des sites Web. Qu'il s'agisse de s'inscrire, de se connecter, de commenter ou de s'abonner, ces fonctions nécessitent que les utilisateurs remplissent des formulaires. Cependant, cela signifie également que les formulaires Web sont exposés à diverses menaces de sécurité. En réponse à ces menaces, cet article présentera quelques techniques de protection des formulaires PHP pour vous aider à protéger vos applications Web.
Les attaques de scripts intersites sont une menace courante pour la sécurité Web dans laquelle les attaquants injectent du code malveillant pour obtenir les informations sensibles de l’utilisateur. Pour empêcher les attaques XSS, vous pouvez encoder les données saisies par l'utilisateur via la fonction intégrée PHP htmlspecialchars(). Par exemple :
<?php $name = $_POST['name']; echo 'Hello, ' . htmlspecialchars($name); ?>
Dans le code ci-dessus, htmlspecialchars() convertira tous les caractères spéciaux (tels que 95ec6993dc754240360e28e0de8de30a, & et ") en entités HTML correspondantes, empêchant ainsi les attaques XSS. #🎜 🎜#
<?php $name = $_POST['name']; if(strlen($name) > 20) { echo '用户名太长'; } else if(preg_match('/[^a-z0-9]/i', $name)) { echo '用户名包含非法字符'; } else { // 用户名合法,继续执行其他操作 } ?>Dans le code ci-dessus, strlen() est. utilisé pour vérifier la longueur du nom d'utilisateur, preg_match() est utilisé pour vérifier si le nom d'utilisateur contient des caractères illégaux. Si le nom d'utilisateur est illégal, le message d'erreur correspondant sera renvoyé #
Le code de vérification est un outil couramment utilisé pour. empêcher les attaques malveillantes des robots.Lorsque les utilisateurs remplissent le formulaire, vous pouvez leur demander de saisir un code de vérification pour vérifier si la saisie de l'utilisateur est légale via le code de vérification d'image généré par la bibliothèque PHP GDPar exemple:
.<?php session_start(); if($_POST) { if(strtolower($_POST['captcha']) == strtolower($_SESSION['captcha'])) { // 验证码输入正确,继续执行其他操作 } else { echo '验证码输入错误'; } } $captcha = rand(1000, 9999); $_SESSION['captcha'] = $captcha; $img = imagecreate(50, 20); $bg = imagecolorallocate($img, 255, 255, 255); $fg = imagecolorallocate($img, 0, 0, 0); imagestring($img, 5, 10, 3, $captcha, $fg); header('Content-type: image/png'); imagepng($img); imagedestroy($img); ?>
<?php $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email'); $stmt->execute(array('email' => $_POST['email'])); $user = $stmt->fetch(); ?>Dans le code ci-dessus, la variable $stmt est utilisée pour exécuter l'opération de requête SQL et la fonction exécuter(). est utilisé pour définir la valeur du paramètre de commande PDO saisie par l'utilisateur. Vous aide automatiquement à filtrer le code malveillant pour empêcher les attaques par injection SQL
<?php if($_FILES) { $ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION); $tmp_file = $_FILES['file']['tmp_name']; if(class_exists('ClamAV')) { $clamav = new ClamAV(); $result = $clamav->scan($tmp_file); if(!$result) { echo '文件上传失败:包含恶意代码'; } else { $filename = uniqid('file_') . '.' . $ext; move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename); echo '文件上传成功'; } } else { // 若未找到Antivirus API,则提供默认处理方式 $filename = uniqid('file_') . '.' . $ext; move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename); echo '文件上传成功'; } } ?>In Dans le code ci-dessus, la variable $ext est utilisée pour obtenir l'extension du fichier téléchargé et la variable $tmp_file est utilisée pour obtenir. le chemin temporaire du fichier téléchargé. S'il est détecté que le fichier téléchargé contient du code malveillant, le message d'erreur correspondant sera renvoyé ; sinon, le fichier sera téléchargé dans le répertoire spécifié. Résumé : Voici quelques conseils de protection des formulaires PHP qui peuvent vous aider à protéger la sécurité des applications Web. Cependant, ces conseils ne constituent qu'une des mesures préventives parmi d'autres. Pour protéger complètement la sécurité des applications Web, des mesures de sécurité supplémentaires doivent être ajoutées.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!