Bagaimana cara berkesan menghalang aplikasi PHP daripada suntikan SQL dan serangan XSS?

Bagaimana cara berkesan menghalang aplikasi PHP daripada suntikan SQL dan serangan XSS?

Dengan perkembangan pesat Internet, keselamatan aplikasi web semakin mendapat perhatian. Antaranya, suntikan SQL dan serangan XSS adalah kelemahan keselamatan biasa, membawa risiko keselamatan yang serius kepada aplikasi Internet. Untuk melindungi keselamatan data pengguna dan kebolehpercayaan aplikasi, kami perlu mencegah serangan ini dengan berkesan. Artikel ini akan memperincikan cara menulis aplikasi selamat dalam PHP untuk mengelakkan risiko suntikan SQL dan serangan XSS.

1. Cegah Serangan Injeksi SQL
   Serangan suntikan SQL dilakukan dengan memasukkan penyataan SQL berniat jahat ke dalam input pengguna, dengan itu memintas mekanisme pengesahan aplikasi dan melakukan operasi yang menyalahi undang-undang pada pangkalan data. Untuk mengelakkan serangan suntikan SQL, berikut ialah beberapa langkah pencegahan yang berkesan:

• Gunakan pernyataan yang disediakan: Menggunakan pernyataan yang disediakan boleh menghalang serangan suntikan SQL. Penyata yang disediakan menyimpan data input pengguna secara berasingan daripada pernyataan SQL, dan pangkalan data akan melarikan diri dengan betul dan memproses input pengguna untuk mengelakkan serangan. Berikut ialah contoh menggunakan pernyataan yang disediakan:

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->execute([':username' => $username]);

• Gunakan pertanyaan berparameter: Pertanyaan berparameter ialah cara lain untuk mencegah serangan suntikan SQL. Pertanyaan berparameter menganggap data yang dimasukkan pengguna sebagai parameter dan bukannya menggantikan terus pembolehubah dalam pernyataan SQL, sekali gus mengelakkan risiko serangan suntikan. Berikut ialah contoh menggunakan pertanyaan berparameter:

$statement = $pdo->prepare('SELECT * FROM users WHERE username = ?');
$statement->bindParam(1, $username);
$statement->execute();

• Pengesahan dan penapisan input: Sebelum menerima input pengguna, pengesahan dan penapisan input boleh mengenal pasti dan menolak input haram. PHP menyediakan beberapa fungsi penapisan terbina dalam, seperti filter_input() dan filter_var(), yang boleh digunakan untuk menapis data yang dimasukkan pengguna. filter_input()和filter_var()，可以用来过滤用户输入的数据。

$clean_username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

2. 防止XSS攻击
   XSS（跨站脚本）攻击是通过在网页中插入恶意的脚本代码，从而获取用户的敏感信息或者破坏网页的安全性。为了防止XSS攻击，以下是一些有效的预防措施：

• 对用户输入进行转义：在将用户输入显示在网页上之前，需要对其进行转义，将特殊的HTML字符替换为HTML实体。例如，使用htmlspecialchars()函数可以进行转义：

$clean_text = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

• 设置正确的HTTP头部：使用Content-Security-Policy和X-XSS-Protection

header("Content-Security-Policy: script-src 'self'");
header("X-XSS-Protection: 1; mode=block");

Cegah serangan XSS

Serangan XSS (skrip merentas tapak) memasukkan kod skrip berniat jahat ke dalam halaman web untuk mendapatkan maklumat sensitif pengguna atau memusnahkan keselamatan halaman web. Untuk mengelakkan serangan XSS, berikut ialah beberapa langkah pencegahan yang berkesan:

Escape input pengguna: Sebelum memaparkan input pengguna pada halaman web, ia perlu dilepaskan, menggantikan aksara HTML khas dengan entiti HTML . Contohnya, melarikan diri boleh dilakukan menggunakan fungsi htmlspecialchars():

🎜

setcookie("session_id", $session_id, time()+3600, "/", "", true, true);

🎜🎜 Tetapkan pengepala HTTP yang betul: gunakan Content-Security-Policy dan X - Pengepala HTTP seperti XSS-Protection boleh meningkatkan lagi keselamatan halaman web dan menyekat pemuatan dan pelaksanaan skrip luaran. 🎜🎜rrreee🎜🎜Gunakan Kuki HTTP sahaja: Menyimpan maklumat pengguna sensitif dalam Kuki HTTP sahaja boleh menghalang serangan XSS daripada mendapatkan maklumat ini. 🎜🎜rrreee🎜Ringkasnya, dengan menggunakan pernyataan yang disediakan, pertanyaan berparameter dan pengesahan input, serangan suntikan SQL boleh dicegah dengan berkesan. Pada masa yang sama, serangan XSS boleh dicegah dengan berkesan dengan melepaskan input pengguna, menetapkan pengepala HTTP yang betul dan menggunakan kuki HTTP sahaja. Semasa menulis aplikasi PHP, pastikan anda membangunkan tabiat pengekodan selamat yang baik untuk melindungi keselamatan data pengguna. 🎜

Atas ialah kandungan terperinci Bagaimana cara berkesan menghalang aplikasi PHP daripada suntikan SQL dan serangan XSS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!