PHP 安全最佳實踐

PHP安全最佳實務包括：輸入驗證，如使用FILTER_SANITIZE_*過濾資料。 XSS防禦，如使用htmlspecialchars()轉義輸出。 SQL注入防禦，如使用預處理語句。弱口令檢查，如使用密碼雜湊函數。使用安全框架，如Laravel的中間件或Symfony的安全組件。保持更新，定期更新PHP核心和第三方函式庫。

PHP 安全最佳實踐

前言

PHP 是廣泛使用的Web 開發語言，但它可能會受到各種安全漏洞的影響。遵循最佳實踐可以幫助降低這些風險並保護您的應用程式。

1. 輸入驗證

輸入驗證確保使用者提交的資料是有效的且安全的。使用FILTER_SANITIZE_* 過濾輸入資料：

$email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);

2. 跨站腳本攻擊(XSS) 防禦

XSS 允許攻擊者註入腳本到您的頁面中。使用 htmlspecialchars() 函數轉義輸出：

echo '<h1 id="htmlspecialchars-title">' . htmlspecialchars($title) . '</h1>';

#3. SQL 注入防禦

SQL 注入允許攻擊者操縱資料庫查詢。使用預處理語句來準備和執行 SQL 查詢：

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();

4. 弱口令檢查

弱口令容易被破解。使用密碼雜湊函數來安全地儲存密碼：

$hashedPassword = password_hash($password, PASSWORD_DEFAULT);

5. 使用安全框架

#安全框架提供內建的保護措施，例如Laravel 的中間件或Symfony的安全組件。

6. 保持更新

定期更新 PHP 核心和第三方程式庫以修復安全漏洞。使用Composer 來管理依賴項：

composer update

實戰案例：驗證安全檔案上傳

考慮檔案上傳表單：

<form action="upload.php" method="post" enctype="multipart/form-data">
  <input type="file" name="file">
  <input type="submit" value="Upload">
</form>

在upload .php 中，需要驗證檔案類型和大小，防止惡意檔案上傳：

if (isset($_FILES['file'])) {
  $allowedTypes = ['image/jpeg', 'image/png']; // 允许的文件类型
  $maxSize = 500000; // 最大文件大小（字节）
  
  if (in_array($_FILES['file']['type'], $allowedTypes) && $_FILES['file']['size'] <= $maxSize) {
    // 上传文件到安全的位置
  } else {
    echo '文件类型或大小无效。';
  }
}

以上是PHP 安全最佳實踐的詳細內容。更多資訊請關注PHP中文網其他相關文章！