Maison >développement back-end >tutoriel php >Comment améliorer la sécurité des fonctions PHP ?

Comment améliorer la sécurité des fonctions PHP ?

PHPz
PHPzoriginal
2024-04-17 13:12:02500parcourir

Méthodes pour assurer la sécurité des fonctions PHP : valider l'entrée (fonctions filter_var(), filter_input(), ctype_*) utiliser des astuces de type (spécifier les paramètres de fonction et les types de valeurs de retour) utiliser la liaison de paramètres (empêcher l'injection SQL) éviter d'utiliser des fonctions dangereuses ( eval(), system())

如何提高 PHP 函数的安全性?

Comment améliorer la sécurité des fonctions PHP

En PHP, les fonctions fournissent un moyen d'encapsuler et d'organiser du code réutilisable. Pour éviter les failles de sécurité causées par des entrées malveillantes, il est crucial de garantir la sécurité des fonctions. Voici quelques façons d'améliorer la sécurité de vos fonctions PHP :

1. Valider les entrées

La validation des entrées est une étape cruciale pour garantir que l'entrée fournie par l'utilisateur ou la source externe est conforme au format et aux valeurs attendus. PHP fournit les fonctions suivantes pour la validation des entrées :

  • filter_var() : utilisé pour filtrer et valider les données. filter_var(): 用于筛选和验证数据。
  • filter_input(): 与 filter_var() 类似,但可从 $_GET$_POST$_COOKIE$_SERVER 等超级全局变量中获取输入。
  • ctype_* 函数:用于检查输入类型,例如 ctype_digit()ctype_alpha()

代码示例:

function validate_input($input) {
  if (!filter_var($input, FILTER_VALIDATE_INT)) {
    throw new Exception("Input must be an integer.");
  }
}

2. 使用类型提示

类型提示通过指定函数参数和返回值的预期类型来加强代码类型安全。它有助于减少未经类型检查的输入,从而提高安全性。

代码示例:

function sum(int $a, int $b): int {
  return $a + $b;
}

3. 使用参数绑定

当处理来自不受信任来源的数据时,使用参数绑定至关重要。它将用户数据作为参数绑定到查询语句中,从而防止 SQL 注入攻击。PHP 提供 PDO(PHP 数据对象)库来执行参数绑定。

代码示例:

$stmt = $conn->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindParam(':username', $username);
$stmt->execute();

4. 避免使用敏感函数

某些 PHP 函数被认为是“危险”的,因为它可能允许执行任意代码或文件包含。避免使用以下函数:

  • eval()
  • system()
  • exec()
  • passthru()
  • shell_exec()
  • filter_input() : similaire à filter_var(), mais disponible depuis $_GET, $_POST, $_COOKIE et $_SERVER.

Fonctions ctype_* : utilisées pour vérifier les types d'entrée, tels que ctype_digit() et ctype_alpha().

Exemple de code :

function register_user(string $username, string $password) {
  // 验证输入
  if (!filter_var($username, FILTER_VALIDATE_REGEXP, array("options" => array("regexp" => "/^[a-zA-Z0-9_-]+$/")))) {
    throw new Exception("Username must contain only letters, numbers, underscores, and dashes.");
  }
  if (strlen($password) < 8) {
    throw new Exception("Password must be at least 8 characters.");
  }

  // 使用参数绑定防止 SQL 注入
  $conn = new PDO(/* ... */);
  $stmt = $conn->prepare("INSERT INTO users (username, password) VALUES (:username, :password)");
  $stmt->bindParam(':username', $username);
  $stmt->bindParam(':password', $password);
  $stmt->execute();
}
2. Utiliser des indices de type

Les indices de type améliorent la sécurité du type de code en spécifiant les types attendus de paramètres de fonction et de valeurs de retour. Cela permet de réduire les entrées sans vérification de type, améliorant ainsi la sécurité. 🎜🎜🎜Exemple de code : 🎜🎜rrreee🎜🎜3. Utilisation de la liaison de paramètres🎜🎜🎜Lorsque vous traitez des données provenant de sources non fiables, il est crucial d'utiliser la liaison de paramètres. Il lie les données utilisateur en tant que paramètres dans des instructions de requête, empêchant ainsi les attaques par injection SQL. PHP fournit la bibliothèque PDO (PHP Data Objects) pour effectuer la liaison des paramètres. 🎜🎜🎜Exemple de code : 🎜🎜rrreee🎜🎜4. Évitez d'utiliser des fonctions sensibles🎜🎜🎜Certaines fonctions PHP sont considérées comme "dangereuses" car elles peuvent permettre l'exécution de code arbitraire ou l'inclusion de fichiers. Évitez d'utiliser les fonctions suivantes : 🎜🎜🎜eval()🎜🎜system()🎜🎜exec()🎜🎜passthru( ) 🎜🎜shell_exec()🎜🎜🎜🎜Cas pratique : 🎜🎜🎜Supposons que nous ayons une fonction d'enregistrement d'utilisateur qui doit vérifier le nom d'utilisateur et le mot de passe saisis par l'utilisateur. Nous pouvons utiliser les techniques décrites ci-dessus pour améliorer la sécurité de nos fonctions : 🎜🎜🎜Exemple de code : 🎜🎜rrreee🎜En suivant ces bonnes pratiques, vous pouvez améliorer considérablement la sécurité de vos fonctions PHP, en empêchant les entrées malveillantes et les failles de sécurité potentielles. 🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn