保护您的 PHP 应用程序涉及保护其免受常见漏洞的影响,例如 SQL 注入、跨站点脚本 (XSS)、跨站点请求伪造 (CSRF)、会话劫持和文件包含攻击。这是一个带有逐部分描述的实践示例,可帮助您了解如何保护 PHP 应用程序。
1. 防止SQL注入
当攻击者可以将恶意 SQL 语句注入您的查询时,就会发生 SQL 注入。将准备好的语句与参数化查询一起使用可以避免这种情况。
示例:
<?php // Insecure version $user_id = $_GET['id']; $query = "SELECT * FROM users WHERE id = '$user_id'"; $result = mysqli_query($connection, $query); // Secure version $user_id = $_GET['id']; $stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $user_id); // "i" for integer $stmt->execute(); $result = $stmt->get_result(); ?>
说明:
- 准备好的语句将 SQL 查询与数据分开,防止恶意代码注入。
- bind_param 将 $user_id 绑定到 SQL 语句,不允许直接输入修改查询结构。
2. 防止跨站脚本(XSS)
当攻击者将恶意脚本注入其他用户查看的网页时,就会发生 XSS。为了避免这种情况,请始终对输出进行清理和编码。
示例:
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . ""; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
说明:
- htmlspecialchars 将特殊字符(如 )转换为 HTML 实体,中和用户输入中嵌入的任何脚本。
- ENT_QUOTES 转义单引号和双引号,使 HTML 属性中的输出更安全。
3. 防止跨站请求伪造(CSRF)
当攻击者诱骗用户在用户不知情的情况下在网站上执行操作时,就会发生 CSRF。通过使用令牌来防止CSRF。
示例:
<?php // Generate CSRF token session_start(); if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } // Add token to form echo '<form method="POST" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="Submit">'; echo ''; ?>
在submit.php中:
<?php session_start(); if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) { die("CSRF token validation failed."); } // Process form data $data = $_POST['data']; ?>
说明:
- 每个会话都会生成一个唯一的 CSRF 令牌,并作为隐藏字段添加到表单中。
- 提交表单时,将检查令牌。如果与存储的会话令牌不匹配,则请求将被拒绝。
4. 防止会话劫持
保护您的会话以避免会话劫持。这包括设置严格的会话配置和重新生成会话ID。
示例:
<?php session_start(); // Regenerate session ID to avoid fixation attacks session_regenerate_id(true); // Configure secure session parameters ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies ini_set('session.cookie_secure', 1); // Ensure cookies are sent over HTTPS ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs // Set session timeout $_SESSION['LAST_ACTIVITY'] = time(); // update last activity time if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout session_unset(); session_destroy(); session_start(); } ?>
说明:
- session_regenerate_id(true) 生成新的会话ID,降低会话固定的风险。
- 设置 cookie_httponly 和 cookie_secure 有助于通过限制 JavaScript 和不安全(非 HTTPS)访问来防止 cookie 被盗。
5. 安全文件上传
不受限制的文件上传可能会导致恶意文件被上传并执行。始终验证文件类型并安全地存储它们。
示例:
<?php // Insecure version $user_id = $_GET['id']; $query = "SELECT * FROM users WHERE id = '$user_id'"; $result = mysqli_query($connection, $query); // Secure version $user_id = $_GET['id']; $stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $user_id); // "i" for integer $stmt->execute(); $result = $stmt->get_result(); ?>
说明:
- 通过根据允许的类型数组检查文件扩展名来仅允许特定的文件类型。
- 将文件存储在 Web 根目录之外,并使用 move_uploaded_file 确保无法通过直接 URL 访问它。
6. 使用内容安全策略 (CSP)
CSP 标头可以通过限制资源加载位置来帮助防止 XSS 和数据注入攻击。
示例(要添加到 .htaccess 文件或服务器配置中):
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . ""; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
说明:
- 此 CSP 限制资源仅从同源(自身)加载,并且允许来自 trustscripts.com 的 JavaScript。
- 这可以防止加载外部脚本或不受信任的资源,从而降低 XSS 风险。
7. 输入验证和清理
使用输入验证和清理来防止各种类型的注入。
示例:
<?php // Generate CSRF token session_start(); if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } // Add token to form echo '<form method="POST" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="Submit">'; echo ''; ?>
说明:
- FILTER_VALIDATE_INT 检查年龄是否为有效整数。
- FILTER_SANITIZE_STRING 从用户名中删除所有 HTML 标签或特殊字符。
通过实施这些方法,您的 PHP 应用程序将得到更好的保护,免受常见漏洞的影响。保持最新的最佳实践并对您的代码持续应用安全措施非常重要。
与我联系:@ LinkedIn 并查看我的作品集。
请给我的 GitHub 项目一颗星 ⭐️
以上是保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践的详细内容。更多信息请关注PHP中文网其他相关文章!

Laravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息,警报或通知。 默认情况下,数据仅针对后续请求: $请求 -

PHP客户端URL(curl)扩展是开发人员的强大工具,可以与远程服务器和REST API无缝交互。通过利用Libcurl(备受尊敬的多协议文件传输库),PHP curl促进了有效的执行

PHP日志记录对于监视和调试Web应用程序以及捕获关键事件,错误和运行时行为至关重要。它为系统性能提供了宝贵的见解,有助于识别问题并支持更快的故障排除

Laravel 提供简洁的 HTTP 响应模拟语法,简化了 HTTP 交互测试。这种方法显着减少了代码冗余,同时使您的测试模拟更直观。 基本实现提供了多种响应类型快捷方式: use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>

您是否想为客户最紧迫的问题提供实时的即时解决方案? 实时聊天使您可以与客户进行实时对话,并立即解决他们的问题。它允许您为您的自定义提供更快的服务

文章讨论了PHP 5.3中引入的PHP中的晚期静态结合(LSB),从而允许静态方法的运行时分辨率调用以获得更灵活的继承。 LSB的实用应用和潜在的触摸


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

AI Hentai Generator
免费生成ai无尽的。

热门文章

热工具

Atom编辑器mac版下载
最流行的的开源编辑器

Dreamweaver CS6
视觉化网页开发工具

Dreamweaver Mac版
视觉化网页开发工具

记事本++7.3.1
好用且免费的代码编辑器

MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。