Amalan Keselamatan Penting untuk Melindungi Aplikasi PHP Anda daripada Kerentanan Biasa

Melindungi aplikasi PHP anda melibatkan melindunginya daripada kelemahan biasa seperti suntikan SQL, skrip silang tapak (XSS), pemalsuan permintaan silang tapak (CSRF), rampasan sesi dan kemasukan fail serangan. Berikut ialah contoh praktikal dengan penerangan bahagian demi bahagian untuk membantu anda memahami cara melindungi aplikasi PHP anda.

1. Cegah SQL Injection

Suntikan SQL berlaku apabila penyerang boleh menyuntik pernyataan SQL berniat jahat ke dalam pertanyaan anda. Gunakan penyataan yang disediakan dengan pertanyaan berparameter untuk mengelakkan perkara ini.

Contoh:

<?php // Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

Penjelasan:

• Pernyataan yang disediakan memisahkan pertanyaan SQL daripada data, menghalang suntikan kod berniat jahat.
• bind_param mengikat $user_id kepada pernyataan SQL tanpa membenarkan input langsung mengubah suai struktur pertanyaan.

2. Halang Skrip Merentas Tapak (XSS)

XSS berlaku apabila penyerang menyuntik skrip berniat jahat ke dalam halaman web yang dilihat oleh pengguna lain. Untuk mengelakkan perkara ini, sentiasa sanitasi dan kodkan output.

Contoh:

<?php // Insecure version
echo "<p>Welcome, " . $_GET['username'] . "";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

Penjelasan:

• htmlspecialchars menukar aksara khas (seperti ) kepada entiti HTML, meneutralkan sebarang skrip yang dibenamkan dalam input pengguna.
• ENT_QUOTES melepaskan petikan tunggal dan berganda, menjadikannya lebih selamat untuk output dalam atribut HTML.

3. Halang Pemalsuan Permintaan Merentas Tapak (CSRF)

CSRF berlaku apabila penyerang memperdaya pengguna untuk melakukan tindakan di tapak tanpa pengetahuan mereka. Lindungi daripada CSRF dengan menggunakan token.

Contoh:

<?php // Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '';
?>

Dalam submit.php:

<?php session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token validation failed.");
}

// Process form data
$data = $_POST['data'];
?>

Penjelasan:

• Token CSRF unik dijana setiap sesi dan ditambah sebagai medan tersembunyi dalam borang.
• Apabila borang diserahkan, token disemak. Jika ia tidak sepadan dengan token sesi yang disimpan, permintaan itu ditolak.

4. Cegah Rampasan Sesi

Lindungi sesi anda untuk mengelakkan rampasan sesi. Ini termasuk menetapkan konfigurasi sesi dan menjana semula ID sesi yang ketat.

Contoh:

<?php session_start();

// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);

// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1);   // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs

// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
    session_unset();
    session_destroy();
    session_start();
}
?>

Penjelasan:

• session_regenerate_id(true) menjana ID sesi baharu, mengurangkan risiko penetapan sesi.
• Menetapkan cookie_httponly dan cookie_secure membantu mencegah kecurian kuki dengan menyekat akses JavaScript dan tidak selamat (bukan HTTPS).

5. Muat Naik Fail Selamat

Muat naik fail tanpa had boleh menyebabkan fail berniat jahat dimuat naik dan dilaksanakan. Sentiasa sahkan jenis fail dan simpannya dengan selamat.

Contoh:

<?php // Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

Penjelasan:

• Hanya benarkan jenis fail tertentu dengan menyemak sambungan fail terhadap tatasusunan jenis yang dibenarkan.
• Simpan fail di luar akar web dan gunakan move_uploaded_file untuk memastikan ia tidak boleh diakses melalui URL langsung.

6. Gunakan Dasar Keselamatan Kandungan (CSP)

Pengepala CSP boleh membantu menghalang XSS dan serangan suntikan data dengan mengehadkan tempat sumber boleh dimuatkan.

Contoh (untuk ditambahkan dalam fail .htaccess atau konfigurasi pelayan):

<?php // Insecure version
echo "<p>Welcome, " . $_GET['username'] . "";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

Penjelasan:

• CSP ini mengehadkan sumber untuk hanya memuatkan dari asal yang sama (diri sendiri), dan JavaScript daripada trustedscripts.com dibenarkan.
• Ini menghalang skrip luaran atau sumber yang tidak dipercayai daripada dimuatkan, mengurangkan risiko XSS.

7. Pengesahan Input dan Sanitasi

Gunakan pengesahan input dan sanitasi untuk mengelakkan pelbagai jenis suntikan.

Contoh:

<?php // Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '';
?>

Penjelasan:

• FILTER_VALIDATE_INT menyemak sama ada umur ialah integer yang sah.
• FILTER_SANITIZE_STRING mengalih keluar sebarang teg HTML atau aksara khas daripada nama pengguna.

Dengan melaksanakan kaedah ini, aplikasi PHP anda akan dilindungi dengan lebih baik daripada kelemahan biasa. Adalah penting untuk sentiasa mengikuti perkembangan terkini dengan amalan terbaik dan secara konsisten menggunakan langkah keselamatan pada kod anda.

Hubungi saya:@ LinkedIn dan semak Portfolio saya.

Sila berikan Projek GitHub saya bintang ⭐️

Atas ialah kandungan terperinci Amalan Keselamatan Penting untuk Melindungi Aplikasi PHP Anda daripada Kerentanan Biasa. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!