Cara memproses data borang dalam borang PHP dan mencegah serangan haram

Dengan perkembangan Internet, borang telah menjadi bahagian yang sangat diperlukan dalam laman web. Borang membolehkan pengguna memasukkan data, menyerahkan data dan melakukan pertanyaan data dengan mudah. Membangunkan borang adalah lebih mudah dalam PHP, tetapi pengendalian data borang memerlukan penjagaan khas. Artikel ini akan memperkenalkan cara mengendalikan data borang dalam borang PHP dan mencegah serangan haram.

1. Dapatkan data borang

Cara paling mudah untuk mendapatkan data borang dalam PHP ialah menggunakan pembolehubah super global $_POST. $_POST digunakan untuk mengumpul data borang daripada kaedah HTTP POST. Walau bagaimanapun, untuk mengelakkan program ranap secara tidak dijangka, kita perlu menggunakan fungsi PHP isset() untuk menyemak sama ada pembolehubah ditetapkan dan bukan NULL.

Contoh kod:

<?php
if(isset($_POST['submit'])){
   $name = $_POST['name'];
   $email = $_POST['email'];
   $message = $_POST['message'];
}
?>

Kod di atas mula-mula menggunakan fungsi isset() untuk menyemak sama ada pengguna mengklik butang hantar. Jika syarat ini benar, nama, e-mel dan nilai mesej dalam $_POST akan disimpan ke pembolehubah yang sepadan.

2. Tapis dan bersihkan data borang

Selepas mendapatkan data borang, kami perlu menapis dan membersihkannya. Ini adalah langkah yang sangat penting untuk keselamatan kerana pengguna boleh memasukkan apa sahaja dengan mudah dalam medan borang, termasuk kandungan yang menyalahi undang-undang dan berbahaya. Oleh itu, jika kami tidak menapis dan membersihkan data borang, ini mungkin membawa kepada beberapa isu keselamatan seperti suntikan SQL, skrip merentas tapak, dsb.

Dalam PHP, anda boleh menggunakan fungsi penapis untuk menapis dan membersihkan data borang. Fungsi penapis dalam PHP disediakan oleh sambungan. Anda harus memastikan sambungan termasuk php_filter dan php_sanitize didayakan.

Kod sampel:

<?php
if(isset($_POST['submit'])){
   $name = filter_var($_POST["name"], FILTER_SANITIZE_STRING);
   $email = filter_var($_POST["email"], FILTER_SANITIZE_EMAIL);
   $message = filter_var($_POST["message"], FILTER_SANITIZE_STRING);
}
?>

Kod di atas menggunakan fungsi filter_var() PHP untuk menapis dan membersihkan data borang. Penapis FILTER_SANITIZE_STRING mengalih keluar teg HTML daripada rentetan. Penapis FILTER_SANITIZE_EMAIL mengalih keluar semua aksara haram daripada alamat e-mel.

3. Cegah serangan haram

Apabila memproses data borang, kita mesti memberi perhatian kepada isu keselamatan. Data yang dihantar kepada PHP mungkin mengandungi kandungan berbahaya, jadi ia mesti disemak dan memastikan ia mempunyai jenis dan format data yang diharapkan.

Berikut ialah beberapa jenis serangan keselamatan yang biasa dan cara melindungi daripadanya:

1. Suntikan SQL

Suntikan SQL ialah Cara serangan biasa. Penceroboh boleh menghantar kod hasad ke pangkalan data anda melalui medan borang, dengan itu mengganggu data atau merosakkan keseluruhan tapak web.

Kaedah perlindungan:

Gunakan pernyataan yang disediakan seperti PDO atau MySQLi. Ini secara automatik akan melarikan diri daripada mana-mana aksara yang dimasukkan pengguna, melindungi pangkalan data anda daripada serangan suntikan SQL.

2. Skrip merentas tapak (XSS)

Tujuan serangan skrip merentas tapak adalah untuk menyuntik skrip berniat jahat ke dalam penyemak imbas pengguna untuk mencuri data atau serangan pengguna laman web tersebut.

Kaedah pencegahan:

Gunakan penapis HTML/CSS untuk menapis teg HTML yang dimasukkan oleh pengguna dan gunakan fungsi htmlentities() atau htmlspecialchars() untuk melepaskan aksara khas dalam input pengguna.

3. Serangan CSRF

Serangan CSRF ialah kaedah serangan di mana penyerang menipu pengguna supaya dia boleh menukar tetapan atau tetapan pengguna tanpa pengetahuan.

Pencegahan:

Gunakan token CSRF untuk melindungi borang anda. Token menjadikan serangan lebih sukar dengan menyukarkan penyerang untuk menyamar sebagai bentuk.

4. Serangan Penegasan HTTP

Dalam serangan Penegasan HTTP, penyerang boleh mengeksploitasi kecacatan dalam pengepala HTTP untuk mengawal atau mendapatkan akses ke tapak web anda. Penyerang boleh menggunakan kaedah seperti "PUT", "DELETE" atau "CONNECT" untuk mengusik data anda atau mengemas kini fail.

Kaedah pencegahan:

Gunakan kaedah GET dan POST untuk mengakses dan mengemas kini data, dan mengehadkan pelayan anda untuk menerima PUT, DELETE dan kaedah permintaan HTTP bukan standard yang lain.

Kesimpulan

Semasa pemprosesan borang PHP, penapisan dan pembersihan data adalah langkah yang perlu untuk mencegah pelbagai serangan. Kami perlu mengesahkan jenis data borang dan pastikan data yang dimasukkan adalah baik. Berhati-hati dengan keselamatan, yang mesti dipertimbangkan semasa mengendalikan data borang. Adalah disyorkan untuk menggunakan kenyataan yang disediakan dan kaedah permintaan had untuk melindungi keselamatan data dan tapak web anda.

Atas ialah kandungan terperinci Cara memproses data borang dalam borang PHP dan mencegah serangan haram. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!