PHP实践教程之过滤、验证、转义与密码的方法-php教程-PHP中文网

首页

后端开发

php教程

PHP实践教程之过滤、验证、转义与密码的方法

墨辰丷

May 19, 2018 am 09:38 AM

php转义验证

本文主要给大家介绍了关于PHP实践教程之过滤、验证、转义与密码的相关资料，需要的朋友可以参考借鉴，下面来一起看看吧。

一、过滤、验证和转义

1).不要相信任何来自不受自己直接控制的数据源中的数据。包括但不限于：

$_GET
$_POST
$_REQUEST
$_COOKIE
$argv
php://stdin
php://input
file_get_contents()
远程数据库
远程API
来自客户端的数据

2).解决办法：过滤输入。删除不安全的字符，在数据到达应用的存储层之前，必须过滤数据。需要过滤的数据包括不限于：HTML、SQL查询和用户资料信息。

HTML:使用htmlentities()函数过滤HTML成对应的实体。这个函数会转义制定字符的HTML字符，以便在存储层安全的渲染。正确的使用方式是使用htmlentities($input, ENT_QUOTES, 'UTF-8')过滤输入。或者使用HTML Purifier。缺点是慢
SQL查询: 有时必须根据数据构建SQL查询。这时要要使用PDO预处理语句过滤外部数据。
用户资料信息:使用filter_var()和filter_input()过滤用户资料信息

3).验证数据：也可以使用filter_var() ，验证成功返回要验证的值，失败返回false。但是这个函数无法验证所有数据，所以可以使用一些验证功能组件。例如aura/filter或者symfony/validator

4)转义输出：任然可以使用htmlentities这个函数，一些模板引擎也自带了转义功能。

密码

1).绝对不能知道用户的密码。

2).绝对不要约束用户的密码，要限制的话只限制最小长度。

3).绝对不能使用电子邮件发送用户的密码。你可以发送一个修改密码的链接，上面带一个token验证是用户本人就行了。

4).使用bcrypt计算用户密码的哈希值。加密和哈希不是一回事，加密是双向算法，加密的数据可以被解密。但是哈希是单项算法，哈希之后的数据无法被还原，想同的数据哈希之后得到的数据始终是相同的。使用数据库存储通过bcrypt哈希密码之后的值。

5).使用密码哈希API简化计算密码哈希和验证密码的操作。下面的注册用户的一般操作

POST /register.php HTTP/1.1
Content-Length： 43
Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao

下面是接受这个请求的PHP文件

<?php
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;, FILTER_VALIDATE_EMAIL);
 if (!$email) {
  throw new Exception(&#39;Invalid email&#39;);
 }
 $password = filter_iput(INPUT_POST, &#39;password&#39;);
 if (!$password || mb_strlen($password) < 8) {
  throw new Exception(&#39;Password must contain 8+ characters&#39;);
 }
 //创建密码的哈希值
 $passwordHash = password_hash(
  $password,
  PASSWORD_DEFAULT,
  [&#39;cost&#39; => 12]
  );

 if ($passwordHash === false) {
  throw new Exception(&#39;Password hash failed&#39;);
 }

 //创建用户账户，这里是虚构的代码
 $user = new User();
 $user->email = $email;
 $user->password_hash = $passwordHash;
 $user->save();
 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /login.php&#39;);
} catch (Exception $e) {
 header(&#39;HTTP1.1 400 Bad Request&#39;);
 echo $e->getMessage();
}

6).根据机器的具体计算能力修改password_hash()的第三个值。计算哈希值一般需要0.1s-0.5s。

7).密码的哈希值存储在varchar(255)类型的数据库列中。

8).登录用户的一般流程

POST /login.php HTTP1.1
Content-length: 43
Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao

session_start();
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;);
 $password = filter_iinput(INPUT_POST, &#39;password&#39;);

 $user = User::findByEmail($email);

 if (password_verify($password, $user->password_hash) === false) {
  throw new Exception(&#39;&#39;Invalid password);
 }

 //如果需要的话，重新计算密码的哈希值
 $currentHasAlgorithm = PASSWORD_DEFAULT;
 $currentHashOptions = array(&#39;cost&#39; => 15);
 $passwordNeedsRehash = password_needs_rehash(
  $user->password_hash,
  $currentHasAlgorithm,
  $currentHasOptions
 );
 if ($passwordNeedsRehash === true) {
  $user->password_hash = password_hash(
   $password,
   $currentHasAlgorithm,
   $currentHasOptions
  );

  $user->save();
 }

 $_SESSION[&#39;user_logged_in&#39;] = &#39;yes&#39;;
 $_SESSION[&#39;user_email&#39;] = $email;

 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /user-profile.php&#39;);
} catch (Exception) {
 header(&#39;HTTP/1.1 401 Unauthorized&#39;);
 echo $e->getMessage();
}

9).PHP5.5.0版本之前的密码哈希API无法使用，推荐使用ircmaxell/password-compat组件。

相关推荐：

PHP验证码类ValidateCode

php验证码类实例分享

php验证输入的手机号码是否合法

以上是PHP实践教程之过滤、验证、转义与密码的方法的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP：服务器端脚本语言的简介Apr 16, 2025 am 12:18 AM

PHP是一种服务器端脚本语言，用于动态网页开发和服务器端应用程序。1.PHP是一种解释型语言，无需编译，适合快速开发。2.PHP代码嵌入HTML中，易于网页开发。3.PHP处理服务器端逻辑，生成HTML输出，支持用户交互和数据处理。4.PHP可与数据库交互，处理表单提交，执行服务器端任务。

PHP和网络：探索其长期影响Apr 16, 2025 am 12:17 AM

PHP在过去几十年中塑造了网络，并将继续在Web开发中扮演重要角色。1)PHP起源于1994年，因其易用性和与MySQL的无缝集成成为开发者首选。2)其核心功能包括生成动态内容和与数据库的集成，使得网站能够实时更新和个性化展示。3)PHP的广泛应用和生态系统推动了其长期影响，但也面临版本更新和安全性挑战。4)近年来的性能改进，如PHP7的发布，使其能与现代语言竞争。5)未来，PHP需应对容器化、微服务等新挑战，但其灵活性和活跃社区使其具备适应能力。

为什么要使用PHP？解释的优点和好处Apr 16, 2025 am 12:16 AM

PHP的核心优势包括易于学习、强大的web开发支持、丰富的库和框架、高性能和可扩展性、跨平台兼容性以及成本效益高。1)易于学习和使用，适合初学者；2)与web服务器集成好，支持多种数据库；3)拥有如Laravel等强大框架；4)通过优化可实现高性能；5)支持多种操作系统；6)开源，降低开发成本。

揭穿神话：PHP真的是一种死语吗？Apr 16, 2025 am 12:15 AM

PHP没有死。1)PHP社区积极解决性能和安全问题，PHP7.x提升了性能。2)PHP适合现代Web开发，广泛用于大型网站。3)PHP易学且服务器表现出色，但类型系统不如静态语言严格。4)PHP在内容管理和电商领域仍重要，生态系统不断进化。5)通过OPcache和APC等优化性能，使用OOP和设计模式提升代码质量。

PHP与Python辩论：哪个更好？Apr 16, 2025 am 12:03 AM

PHP和Python各有优劣，选择取决于项目需求。1)PHP适合Web开发，易学，社区资源丰富，但语法不够现代，性能和安全性需注意。2)Python适用于数据科学和机器学习，语法简洁，易学，但执行速度和内存管理有瓶颈。

PHP的目的：构建动态网站Apr 15, 2025 am 12:18 AM

PHP用于构建动态网站，其核心功能包括：1.生成动态内容，通过与数据库对接实时生成网页；2.处理用户交互和表单提交，验证输入并响应操作；3.管理会话和用户认证，提供个性化体验；4.优化性能和遵循最佳实践，提升网站效率和安全性。

PHP：处理数据库和服务器端逻辑Apr 15, 2025 am 12:15 AM

PHP在数据库操作和服务器端逻辑处理中使用MySQLi和PDO扩展进行数据库交互，并通过会话管理等功能处理服务器端逻辑。1）使用MySQLi或PDO连接数据库，执行SQL查询。2）通过会话管理等功能处理HTTP请求和用户状态。3）使用事务确保数据库操作的原子性。4）防止SQL注入，使用异常处理和关闭连接来调试。5）通过索引和缓存优化性能，编写可读性高的代码并进行错误处理。