Die Bereinigung und Transformation von PHP -String für die sichere Eingabebehandlung

Immer die Eingabe mit filter_var () mit geeigneten Filtern wie filter_sanitize_email oder filter_sanitize_url sanitieren und danach mit filter_validat_email validieren; 2. Fluchtausgabe mit htmlSpecialChars () für HTML -Kontexte und JSON_Encode () mit JSON_HEX_TAG für JavaScript, um XSS zu verhindern; 3.. Verwenden Sie vorbereitete Anweisungen mit PDO oder MySQLI für Datenbankabfragen, um die Benutzereingabe sicher zu verarbeiten, ohne manuell zu entkommen. 4. Normalisieren Sie Zeichenfolgen, indem Sie die Whitespace trimmen, mit mb_convert_encoding () in UTF-8 konvertieren, das Fall für Konsistenz absenken und überschüssige Räume reduzieren; 5. Vermeiden Sie veraltete Funktionen wie MySQL_REAL_ESCAPE_STRING (), strip_tags () und fügtlashes (); 6. Wenden Sie einen geschichteten Sicherheitsansatz an, einschließlich der clientseitigen Validierung (nur für UX), der serverseitigen Bereinigung und Validierung, der Ausgabe von Aussagen, erstellten Aussagen und Inhaltssicherheitsrichtlinien, um die Risiken effektiv zu mildern. Sichere PHP-Eingangsbehandlung erfordert konsistente, vielschichtige Praktiken, um Schwachstellen zu verhindern und die Datenintegrität zu gewährleisten.

Bei der Behandlung von Benutzereingaben in PHP sind die String-Desinfektion und -Transformation von entscheidender Bedeutung, um Sicherheitsanfälligkeiten wie SQL-Injektion, XSS (Cross-Site-Skripte) und Datenversorgung zu verhindern. Ordnungsgemäß sanierende und transformierende Zeichenfolgen stellt sicher, dass die Eingabe sicher, konsistent und für die beabsichtigte Verwendung geeignet ist - ob in einer Datenbank gespeichert, auf einer Webseite angezeigt oder an ein anderes System übergeben wird.

Hier erfahren Sie, wie Sie Strings in PHP effektiv zur sicheren Eingangsbekämpfung abhören und verwandeln können.

1. Filtereingabe mit filter_var()

Behandeln Sie die Benutzereingabe immer als nicht vertrauenswürdig. Verwenden Sie die integrierte filter_var() -Funktion von PHP, um Daten frühzeitig zu sanieren und zu validieren.

 $ mail = filter_var ($ _ post ['mail'], filter_sanitize_email);
$ url = filter_var ($ _ post ['url'], filter_sanitize_url);
$ string = filter_var ($ _ post ['input'], filter_sanitize_string, filter_flag_strip_low | filter_flag_strip_high);

Schlüsselfilter:

• FILTER_SANITIZE_STRING - Entfernt und codiert und kodiert spezielle Zeichen (veraltet in PHP 8.1, verwenden Sie stattdessen htmlspecialchars() und manuelles Streifen).
• FILTER_SANITIZE_EMAIL - entfernt illegale Zeichen.
• FILTER_SANITIZE_URL -erlaubt nur URL-sichere Zeichen.
• FILTER_VALIDATE_EMAIL , FILTER_VALIDATE_IP usw. - zur Validierung, nicht nur zur Desinfektion.

? HINWEIS : Sanitisierung ≠ Validierung. Überprüfen Sie immer nach der Desinfektion:

 if (filter_var ($ mail, filter_validate_email)) {
// sicher zu bedienen
}

2. Fluchtausgang, um XSS zu verhindern

Die Eingabe der Eingabe reicht nicht aus. Entgehen Sie immer den Daten, wenn Sie ausgeben, insbesondere in HTML, JavaScript oder Attributen.

 echo htmlspecialChars ($ userInput, ent_quotes, 'utf-8');

• Verwenden Sie ENT_QUOTES , um sowohl einzelne als auch doppelte Zitate zu konvertieren.
• Geben Sie Codierung ( UTF-8 ) an, um codierende Exploits zu verhindern.
• Verwenden Sie für JavaScript -Kontexte json_encode() :

   <Script>
    var userData = <?
  </script>

3.. Verwandte Datenbankeingabe sicher

Verkettieren Sie niemals die Benutzereingabe in SQL -Abfragen. Verwenden Sie stattdessen vorbereitete Aussagen.

Mit PDO:

 $ stmt = $ pdo-> vorbereiten ("In Benutzer einfügen (Name, E-Mail) Werte (?,?)");
$ stmt-> execute ([$ name, $ mail]);

Mit MySQLI:

 $ stmt = $ mysqli-> vorbereiten ("In Benutzer einfügen (Name, E-Mail) Werte (?,?)");
$ stmt-> bind_param ("ss", $ name, $ mail);
$ stmt-> execute ();

✅ Dies beseitigt die Notwendigkeit, Strings für SQL manuell zu entkommen, wodurch Ihre App sicherer und sauberer wird.

4.. Normalisieren und transformieren Sie Saiten

Die konsistente Formatierung hilft, Fehler und Spoofing -Versuche zu reduzieren.

• Whitespace trimmen:

   $ clean = trimm ($ input);

• Konvertieren Sie die Codierung in UTF-8:

   if (! mb_check_encoding ($ input, 'utf-8') {
    $ input = mb_convert_encoding ($ input, 'utf-8', 'auto');
  }

• Kleinbuchstaben -E -Mails zur Konsistenz:

   $ mail = strtolower (trim ($ mail));

• Überschüssige Weißespace entfernen:

   $ clean = preg_replace (' /\ s /', '', $ clean);

5. Vermeiden Sie veraltete oder unsichere Funktionen

• ❌ Verwenden Sie nicht mysql_real_escape_string() - es ist veraltet und schützt nicht vor allen Angriffen.
• ❌ Vermeiden Sie strip_tags() allein - es bestätigt oder entweichen nicht ordnungsgemäß.
• ❌ Verlassen Sie sich nicht auf addslashes() -es ist nicht kontextbewusst und kann umgangen werden.

Stattdessen:

• Verwenden Sie htmlspecialchars() für die Ausgabe.
• Verwenden Sie bei Bedarf moderne Desinfektionsbibliotheken oder manuelle Filterung.

6. Verwenden Sie einen Schichtansatz (Verteidigung in der Tiefe)

Sicherheit sollte sich nicht auf einen einzigen Schritt verlassen. Anwenden:

• Kundenseitige Validierung -für UX (aber niemals vertrauen).
• Serverseitige Desinfektion und Validierung -obligatorisch.
• Ausgabe entkommen -Immer kontextbewusst.
• Vorbereitete Aussagen - für Datenbanken.
• CSP (Inhaltssicherheitsrichtlinie) - Um die XSS -Auswirkungen zu mindern.

Beispiel: Vollständiger Eingangshandhabungsfluss

 Funktion sanitizeInput ($ input) {
    // Codierung trimmen und verarbeiten
    $ input = trim ($ input);
    $ input = mb_convert_encoding ($ input, 'utf-8', 'auto');

    // gefährliche Kontrollfiguren streifen
    $ input = preg_replace ('/[\ x00- \ x08 \ x0b \ x0c \ x0e- \ x1f \ x7f]/', '', $ input);

    // zusätzliche Weißespace entfernen
    $ input = preg_replace (' /\ s /', '', $ input);

    $ input zurückgeben;
}

// Verwendung
$ name = sanitizeInput ($ _ post ['name']);
$ mail = filter_var ($ _ post ['mail'], filter_sanitize_email);

if ($ E -Mail && filter_var ($ mail, filter_valate_email)) {
    // Fahren Sie mit der vorbereiteten Erklärung fort
}

Sicheres Eingangsumschlag geht nicht um eine Funktion - es geht um konsistente Praktiken in jeder Ebene. Bereinigen Sie früh, validieren Sie strikt, entkommen Sie die Ausgabe und verwenden Sie sichere Datenbankschnittstellen. So erstellen Sie belastbare PHP -Anwendungen.

Vertrauen Sie dem Benutzer im Grunde nicht. Immer.

Das obige ist der detaillierte Inhalt vonDie Bereinigung und Transformation von PHP -String für die sichere Eingabebehandlung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!