搜尋

首頁 >後端開發 >php教程 >常見的 PHP 安全性問題以及如何預防

常見的 PHP 安全性問題以及如何預防

Patricia Arquette
Patricia Arquette原創
2024-12-30 19:34:10118瀏覽

Common PHP Security Issues and How to Prevent Them

常見的 PHP 安全問題以及如何預防

安全性是 Web 開發中最關鍵的方面之一。 PHP 是使用最廣泛的伺服器端程式語言之一,如果沒有適當的保護,通常會成為攻擊的目標。開發人員必須了解常見的安全漏洞並採取必要的措施來保護其應用程式。

在本文中,我們將探討一些最常見的 PHP 安全問題以及如何緩解這些問題。

1. SQL注入

問題:
當攻擊者能夠透過使用者輸入註入惡意 SQL 程式碼來操縱 SQL 查詢時,就會發生 SQL 注入。如果使用者輸入未經適當驗證或清理而直接包含在 SQL 查詢中,則攻擊者可以執行任意 SQL 命令,從而可能危及資料庫。

如何預防:

  • 使用預先準備語句和參數化查詢:使用 PDO(PHP 資料物件)或 MySQLi 與預先準備語句,透過將 SQL 查詢與資料分離來防止 SQL 注入。
  • PDO 範例: 
  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

透過使用 :email,使用佔位符準備查詢,並單獨綁定實際值,確保使用者輸入永遠不會直接插入查詢中。

  • 輸入驗證:在 SQL 查詢中使用使用者輸入之前始終驗證和清理使用者輸入。
  • 最小權限:確保您的資料庫使用者擁有執行操作所需的最小權限。

2.跨站腳本 (XSS)

問題:
當攻擊者將惡意腳本(通常是 JavaScript)注入其他使用者檢視的網頁時,就會發生 XSS。此腳本可用於竊取會話 cookie、將使用者重新導向至惡意網站或代表使用者執行未經授權的操作。

如何預防:

  • 轉義輸出:確保瀏覽器中顯示的所有使用者產生的內容都已正確轉義。使用 htmlspecialchars() 將特殊字元轉換為 HTML 實體。 
  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

這可以防止瀏覽器執行使用者輸入中的任何 HTML 或 JavaScript 程式碼。

  • 內容安全策略 (CSP):實作 CSP 來限制可以在您的網站上載入的內容類型並減輕 XSS 攻擊。

  • 輸入驗證:始終清理使用者輸入,尤其是在接受 HTML 輸出資料時。

3.跨站請求偽造 (CSRF)

問題:
CSRF 是一種攻擊,其中惡意使用者誘騙其他使用者在未經同意的情況下在 Web 應用程式上執行操作(例如更改密碼或進行購買)。當攻擊者使用受害者經過驗證的會話發出未經授權的請求時,通常會發生這種情況。

如何預防:

  • 使用 CSRF 令牌:為每個修改資料的請求產生唯一的隨機令牌。發出請求時應驗證此令牌以確保其合法性。 
  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);
  • 同網站 Cookie:使用 SameSite cookie 屬性來限制跨網站要求中傳送 cookie 的方式。 
  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

4.不安全的文件上傳

問題:
允許用戶在未經適當驗證的情況下上傳文件可能會導致嚴重的漏洞。攻擊者可以上傳惡意文件,例如 PHP 腳本,這些文件可以在伺服器上執行。

如何預防:

  • 檢查檔案副檔名和 MIME 類型:一律透過檢查檔案副檔名和 MIME 類型來驗證檔案類型。不要僅依賴用戶提供的數據。 
  // Generate CSRF token
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

  // Include token in form
  echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';

  // Validate token on form submission
  if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
      die('CSRF token validation failed.');
  }

  • 限製檔案大小:設定上傳的最大檔案大小限制,以防止透過大型檔案進行拒絕服務 (DoS) 攻擊。

  • 重新命名上傳的檔案:避免使用原始檔案名稱。將上傳的檔案重新命名為唯一的名稱,以防止使用者猜測或覆蓋現有檔案。

  • 將檔案儲存在 Web 根目錄之外:將上傳的檔案儲存在無法透過 Web 存取的目錄中(即 public_html 或 www 資料夾之外)。

  • 禁止執行檔:絕不允許上傳 .php、.exe 或其他執行檔類型。即使您驗證文件類型,最好還是避免處理可能執行程式碼的文件。

5.會話管理不足

問題:
不良的會話管理實踐可能會使您的應用程式容易受到攻擊,例如會話劫持或會話固定。例如,如果沒有適當保護,攻擊者可以竊取或預測會話標識符。

如何預防:

  • 使用安全 Cookie:確保會話 cookie 設定了 HttpOnly、Secure 和 SameSite 標誌。 
  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);
  • 重新產生會話 ID:每當使用者登入或執行敏感操作時重新產生會話 ID,以防止會話固定。 
  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
  • 會話過期:設定適當的會話過期時間並實作會話逾時,以確保會話不會無限期地保持開啟。

6.指令注入

問題:
當攻擊者將惡意指令注入到由 PHP 的 exec()、shell_exec()、system() 或類似函數執行的系統指令中時,就會發生指令注入。這可以允許攻擊者在伺服器上運行任意命令。

如何預防:

  • 避免使用 Shell 函數:避免在使用者輸入時使用 exec()、shell_exec()、system() 或 passthru() 等函數。如果您必須使用這些函數,請確保對輸入進行正確的驗證和清理。

  • 使用 Escapeshellcmd() 和 Escapeshellarg():如果必須執行 shell 命令,請使用 escapeshellcmd() 和 escapeshellarg() 在將使用者輸入傳遞到命令列之前對其進行清理。 

  // Generate CSRF token
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

  // Include token in form
  echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';

  // Validate token on form submission
  if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
      die('CSRF token validation failed.');
  }

7.錯誤處理不當

問題:
暴露敏感錯誤訊息可能會洩露有關應用程式結構的信息,這些資訊可能會被攻擊者利用。當向使用者顯示詳細的錯誤訊息時,通常會發生這種情況。

如何預防:

  • 停用在生產中顯示錯誤:永遠不要在生產中向使用者顯示詳細的錯誤訊息。相反,將錯誤記錄到檔案並向使用者顯示一般錯誤訊息。 
  setcookie('session', $sessionId, ['samesite' => 'Strict']);
  • 記錄錯誤:使用適當的日誌機制(如 error_log())安全地捕獲錯誤訊息,而不會將其透露給最終用戶。 
  $allowedTypes = ['image/jpeg', 'image/png'];
  if (in_array($_FILES['file']['type'], $allowedTypes)) {
      // Proceed with file upload
  }

8.跨站 WebSocket 劫持

問題:
如果您在 PHP 應用程式中使用 WebSocket,不安全的 WebSocket 連線可能會被劫持以冒充使用者並傳送惡意資料。

如何預防:

  • 使用 HTTPS 進行 WebSocket 連線:確保透過 wss://(WebSocket 安全性)而不是 ws:// 建立 WebSocket 連線來加密資料。

  • 驗證 Origin 標頭:驗證 Origin 標頭以確保請求來自允許的網域。 

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

9.弱密碼儲存

問題:
如果資料庫遭到破壞,以純文字形式儲存使用者密碼或使用弱雜湊演算法可能會導致嚴重的安全問題。

如何預防:

  • 使用強雜湊演算法:使用PHP內建的password_hash()和password_verify()函數來安全地雜湊和驗證密碼。 
  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
  • 加鹽:總是使用鹽(在password_hash()中自動完成),確保即使兩個使用者俱有相同的密碼,他們的雜湊值也會不同。

結論

PHP 安全對於保護您的應用程式及其使用者至關重要。透過了解和緩解 SQL 注入、XSS、CSRF、檔案上傳問題和會話管理缺陷等常見漏洞,您可以顯著改善 PHP 應用程式的安全狀況。

採用良好的實踐(例如使用準備好的語句、驗證輸入、使用 HTTPS 以及安全處理會話和密碼)將有助於防止最常見的攻擊。始終了解最新的安全實踐,並定期審核您的應用程式是否有潛在漏洞。

以上是常見的 PHP 安全性問題以及如何預防的詳細內容。更多資訊請關注PHP中文網其他相關文章!

php JavaScript sql html xss csrf if for date Cookie Session Validating Error Logging mysqli pdo Token restrict using protected Attribute Generic this display input database https websocket Other
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
上一篇:我可以在保持解密相容性的同時從 Mcrypt 遷移到 OpenSSL 加密嗎?下一篇:我可以在保持解密相容性的同時從 Mcrypt 遷移到 OpenSSL 加密嗎?

相關文章

看更多