PHP で安全なコーディングを実践するためのガイド

PHP によるセキュア コーディング実践ガイド

インターネットの発展に伴い、Web アプリケーションの役割はますます重要になっています。ただし、Web アプリケーションのセキュリティは常に深刻な問題です。 Web アプリケーションを悪意のある攻撃から保護するには、PHP 開発者はいくつかの安全なコーディング手法を理解し、従う必要があります。この記事では、いくつかの一般的なセキュリティ脆弱性とその回避方法について説明します。

1. 入力検証

入力検証は、多くのセキュリティ脆弱性に対する防御の最前線です。フォーム、URL パラメータ、または他のチャネルからのものであっても、ユーザー入力を決して信頼しないでください。フィルター関数を使用してユーザー入力を検証します。たとえば、filter_var() 関数を使用して、電子メールと URL の形式を確認できます。

$email = $_POST['email'];
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    echo "请输入有效的电子邮件地址";
}

2. パラメータ化されたクエリ

データベース クエリを処理する場合、パラメータ化されたクエリを使用することが SQL インジェクション攻撃を防ぐ鍵となります。パラメータ化されたクエリは、データベースに渡されるパラメータをクエリ ステートメントから分離することによって実行されます。これにより、クエリの一部としてユーザー入力が回避され、悪意のあるユーザーによる悪意のあるコードの挿入が防止されます。

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindParam(':username', $username);
$username = $_POST['username'];
$stmt->execute();

3. 機密データの暗号化

機密データを送信および保存する場合、暗号化は不可欠です。 SSL 証明書を使用してデータ送信を暗号化し、送信中にユーザーの機密情報が盗まれないようにします。さらに、ユーザー パスワードなどの機密データを保存する場合は、常に適切な暗号化アルゴリズムを使用してデータのセキュリティを保護してください。

$encryptedPassword = password_hash($password, PASSWORD_DEFAULT);

4. クロスサイト スクリプティング攻撃 (XSS) の防止

クロスサイト スクリプティング攻撃は、Web アプリケーションの脆弱性を悪用して悪意のあるスクリプトを挿入する攻撃方法です。このような攻撃を防ぐには、ユーザー入力をフィルタリングしてエスケープし、ユーザー入力データが HTML コードとして解析されないようにする必要があります。

$name = $_POST['name'];
echo htmlentities($name);

5. クロスサイト リクエスト フォージェリ (CSRF) の防止

クロスサイト リクエスト フォージェリ攻撃は、ログインしているユーザーの ID を使用して送信する攻撃方法です。悪意のあるリクエスト。このような攻撃を防ぐために、トークンを使用して各リクエストの正当性を検証できます。各フォームでは、一意のトークンが生成され、リクエストとともにサーバー側に送信され、そこでトークンの有効性が検証されます。

session_start();
$token = md5(uniqid(rand(), true));
$_SESSION['token'] = $token;

6. ファイルのアップロードを制限する

ファイルのアップロードは、多くの Web アプリケーションで一般的な機能です。セキュリティを確保するには、アップロードするファイルの種類とサイズを制限し、アップロードしたファイルを安全な場所に保存します。さらに、アップロードされたファイルは検証および処理され、悪意のあるコードが含まれていないことを確認する必要があります。

$allowedExtensions = ['jpg', 'jpeg', 'png'];
$allowedSize = 2 * 1024 * 1024; // 2MB
$uploadPath = 'uploads/';
$filename = $_FILES['file']['name'];
$fileExtension = strtolower(pathinfo($filename, PATHINFO_EXTENSION));
$fileSize = $_FILES['file']['size'];
if (in_array($fileExtension, $allowedExtensions) && $fileSize <= $allowedSize) {
    move_uploaded_file($_FILES['file']['tmp_name'], $uploadPath . $filename);
}

上記は、一般的な PHP セキュア コーディング手法の一部です。これらの実践に従うことで、開発者は Web アプリケーションのセキュリティを大幅に向上させることができます。ただし、これはほんの始まりにすぎず、開発者は新しいセキュリティの脆弱性とベスト プラクティスに関する情報を常に入手し、コーディング スキルを継続的に向上させる必要があります。

安全な PHP コードを作成するときは、「ユーザー入力を信頼しない」ことを念頭に置き、常に実際のニーズに基づいて正しいセキュリティ対策を使用して、アプリケーションのセキュリティを確保してください。適切な予防措置を講じることで、より安全な Web アプリケーションを一緒に構築できます。

参考元：

• [OWASP トップテンプロジェクト](https://owasp.org/www-project-top-ten/)
• [PHPマニュアル](https://www.php.net/manual/en/)
• [PHP: 正しい方法](https://phptherightway.com/)

以上がPHP で安全なコーディングを実践するためのガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。