PHP フォームのハッキングを防ぐにはどうすればよいですか?

PHP フォームのハッキングを防ぐにはどうすればよいですか?

インターネットの発展に伴い、Web サイトは人々が情報を取得し、コンテンツを共有し、コミュニケーションするための重要なプラットフォームになりました。 Web サイト上のフォームは、ユーザーがデータを送信したり、アカウントを登録したり、メッセージを残したり、その他の機能を実行したりするためによく使用されます。しかし、ハッカーの存在により、フォームデータは簡単に攻撃され、改ざんされ、重大なセキュリティ問題が発生します。 PHP フォームがハッカーによる攻撃を防ぐために、いくつかの一般的なセキュリティ保護対策と関連するコード例を以下に紹介します。

1. 入力検証
   ハッカーは多くの場合、フォーム内の入力ボックスを使用して、SQL インジェクションや XSS 攻撃などの有害なコードを挿入します。したがって、入力されたデータが期待される形式と要件を満たしていることを確認するために、ユーザー入力を検証およびフィルタリングする必要があります。
   次は、フォーム内のユーザー名が形式要件 (文字、数字、アンダースコアのみを含み、長さは 5 ～ 15 文字) を満たしているかどうかを確認する簡単な例です。

$username = $_POST['username'];
if (!preg_match("/^[a-zA-Z0-9_]{5,15}$/", $username)) {
  // 用户名格式错误，进行相应处理
}

2. クロスサイト スクリプティング攻撃 (XSS) の防止
   XSS 攻撃とは、攻撃者が Web ページに悪意のあるスクリプトを挿入し、ユーザー データの盗難や改ざんを引き起こすことを指します。 XSS 攻撃を防ぐには、ユーザーの入力データと出力データをフィルタリングしてエスケープする必要があります。
   次は、ユーザー入力をフィルタリングする簡単な例です:

$content = $_POST['content'];
$filtered_content = htmlspecialchars($content);
// 使用$filtered_content继续进行下一步处理

3. クロスサイト リクエスト フォージェリ (CSRF) の防止
   CSRF 攻撃とは、ユーザーを騙す、またはユーザーを誘導するハッカーを指します。 Web サイトにログイン中に悪意のある操作を実行する。 CSRF 攻撃を防ぐために、トークン検証メカニズムを使用できます。
   以下は、トークンの生成と検証の簡単な例です:

session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  $token = $_POST['token'];
  if (!isset($_SESSION['token']) || $token !== $_SESSION['token']) {
    // token验证失败，进行相应处理
  } else {
    // token验证通过，进行正常处理
  }
} else {
  $token = md5(uniqid(rand(), true));
  $_SESSION['token'] = $token;
  // 在表单中使用<input type="hidden" name="token" value="<?php echo $token; ?>" />将token传递给后端
}

4. データベース セキュリティ
   ユーザー データをデータベースに保存するときは、SQL インジェクションを防ぐように注意する必要があります。攻撃します。ユーザー入力を使用して SQL ステートメントを直接結合するのではなく、パラメーター化された SQL クエリを使用する必要があります。
   以下は、SQL クエリに PDO プリペアド ステートメントを使用した簡単な例です:

$username = $_POST['username'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username = :username AND password = :password";
$stmt = $pdo->prepare($sql);
$stmt->bindValue(':username', $username);
$stmt->bindValue(':password', $password);
$stmt->execute();
// 处理查询结果

つまり、PHP フォームがハッカーによる攻撃を防ぐには、入力検証を実行する必要があります。 XSS 攻撃を防止し、CSRF 攻撃とデータベースのセキュリティ保護を防ぎます。上記のセキュリティ保護対策とコード例が、Web サイトとユーザー データの保護を強化するのに役立つことを願っています。

以上がPHP フォームのハッキングを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。