Petua perlindungan bentuk PHP: Gunakan skrip bahagian belakang pelindung

Dengan perkembangan teknologi Internet yang berterusan, borang Web telah menjadi salah satu fungsi tapak web yang sangat diperlukan. Sama ada mendaftar, log masuk, mengulas atau melanggan, fungsi ini memerlukan pengguna mengisi borang. Walau bagaimanapun, ini juga bermakna bahawa borang web terdedah kepada pelbagai ancaman keselamatan. Sebagai tindak balas kepada ancaman ini, artikel ini akan memperkenalkan beberapa teknik perlindungan borang PHP untuk membantu anda melindungi aplikasi web anda.

1. Halang serangan skrip merentas tapak (XSS)

Serangan skrip merentas tapak ialah ancaman keselamatan web biasa, di mana penyerang menyuntik kod hasad untuk mendapatkan akses kepada pengguna ' maklumat maklumat sensitif. Untuk mengelakkan serangan XSS, anda boleh mengekod data yang dimasukkan pengguna melalui fungsi terbina dalam PHP htmlspecialchars(). Contohnya:

<?php
$name = $_POST['name'];
echo 'Hello, ' . htmlspecialchars($name);
?>

Dalam kod di atas, htmlspecialchars() akan menukar semua aksara khas (seperti , & dan ") kepada entiti HTML yang sepadan, sekali gus menghalang serangan XSS.

2. Semak dan hadkan input pengguna

Input pengguna mungkin menyalahi undang-undang dalam pelbagai cara, seperti terlalu panjang, terlalu pendek, atau mengandungi aksara haram, dsb. Untuk mengelakkan masalah ini, anda boleh menggunakan. Fungsi terbina dalam strlen() dan preg_match() digunakan untuk menyemak dan mengehadkan input pengguna Contohnya:

<?php
$name = $_POST['name'];
if(strlen($name) > 20) {
    echo '用户名太长';
} else if(preg_match('/[^a-z0-9]/i', $name)) {
    echo '用户名包含非法字符';
} else {
    // 用户名合法，继续执行其他操作
}
?>

Dalam kod di atas, strlen() digunakan untuk menyemak panjang nama pengguna, dan. preg_match() digunakan untuk menyemak sama ada nama pengguna mengandungi aksara yang tidak sah, mesej ralat yang sepadan akan dikembalikan

3. Gunakan kod pengesahan untuk mengesahkan input pengguna 🎜>
Kod pengesahan ialah kaedah yang biasa digunakan untuk menghalang serangan berniat jahat oleh alat robot Apabila pengguna mengisi borang, anda boleh meminta mereka memasukkan kod pengesahan untuk mengesahkan sama ada input pengguna itu sah melalui kod pengesahan imej. dijana oleh perpustakaan PHP GD Contohnya:

<?php
session_start();
if($_POST) {
    if(strtolower($_POST['captcha']) == strtolower($_SESSION['captcha'])) {
        // 验证码输入正确，继续执行其他操作
    } else {
        echo '验证码输入错误';
    }
}
$captcha = rand(1000, 9999);
$_SESSION['captcha'] = $captcha;
$img = imagecreate(50, 20);
$bg = imagecolorallocate($img, 255, 255, 255);
$fg = imagecolorallocate($img, 0, 0, 0);
imagestring($img, 5, 10, 3, $captcha, $fg);
header('Content-type: image/png');
imagepng($img);
imagedestroy($img);
?>

Dalam kod di atas, session_start(). Apabila pengguna menyerahkan borang, jika kod pengesahan dimasukkan dengan betul, teruskan operasi lain; jika tidak, mesej ralat input kod pengesahan dipulangkan Pembolehubah captcha digunakan untuk menyimpan kandungan kod pengesahan, dan pembolehubah img digunakan untuk menjana imej kod pengesahan format ke PNG.

Cegah serangan suntikan SQL

4. Serangan suntikan SQL ialah ancaman keselamatan web yang biasa menyuntik pernyataan SQL Berniat jahat untuk mendapatkan atau mengusik data dalam pangkalan data . Untuk mengelakkan serangan suntikan SQL, anda boleh menggunakan parameterisasi perintah untuk menapis data yang dimasukkan pengguna Contohnya:

<?php
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(array('email' => $_POST['email']));
$user = $stmt->fetch();
?>

Dalam kod di atas, pembolehubah $stmt digunakan untuk menjalankan operasi pertanyaan SQL. ) digunakan untuk menetapkan nilai parameter e-mel yang dimasukkan oleh pengguna parameterisasi perintah PDO secara automatik boleh membantu anda menapis kod hasad, dengan itu menghalang serangan suntikan SQL

Mengesan muat naik fail berniat jahat

5. Memuat naik fail ialah salah satu fungsi yang biasa digunakan dalam borang web Walau bagaimanapun, ia juga boleh menjadi titik masuk untuk serangan rangkaian Untuk memastikan fail yang dimuat naik adalah selamat, anda boleh menggunakan API Antivirus . Semak sama ada muat naik fail selamat Contohnya:

<?php
if($_FILES) {
    $ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);
    $tmp_file = $_FILES['file']['tmp_name'];
    if(class_exists('ClamAV')) {
        $clamav = new ClamAV();
        $result = $clamav->scan($tmp_file);
        if(!$result) {
            echo '文件上传失败：包含恶意代码';
        } else {
            $filename = uniqid('file_') . '.' . $ext;
            move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename);
            echo '文件上传成功';
        }
    } else {
        // 若未找到Antivirus API，则提供默认处理方式
        $filename = uniqid('file_') . '.' . $ext;
        move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename);
        echo '文件上传成功';
    }
}
?>

Dalam kod di atas, pembolehubah $ext digunakan untuk mendapatkan sambungan fail yang dimuat naik, dan pembolehubah $tmp_file digunakan untuk mendapatkan pembolehubah sementara laluan fail yang dimuat naik. Jika ia mengandungi kod hasad, mesej ralat yang sepadan akan dikembalikan; jika tidak, fail yang dimuat naik akan disimpan dalam direktori yang ditentukan

Ringkasan: Di atas adalah beberapa petua perlindungan borang PHP yang boleh membantu anda melindungi keselamatan aplikasi web. Walau bagaimanapun, petua ini hanyalah salah satu daripada langkah pencegahan Untuk melindungi sepenuhnya keselamatan aplikasi web, lebih banyak langkah keselamatan perlu ditambah.

Atas ialah kandungan terperinci Petua perlindungan bentuk PHP: Gunakan skrip bahagian belakang pelindung. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!