Dieser Artikel führt Sie hauptsächlich in die relevanten Informationen zum Filtern, Verifizieren, Escapen und Passwörtern in praktischen Tutorials von PHP ein. Lassen Sie uns gemeinsam einen Blick darauf werfen.
1. Filtern, Verifizieren und Escapen
1). Vertrauen Sie keinen Daten aus Datenquellen, die nicht unter Ihrer direkten Kontrolle stehen. Einschließlich, aber nicht beschränkt auf:
$_GET
$_POST
$_REQUEST
$_COOKIE
$argv
php://stdin
php://input
file_get_contents()
Remote-Datenbank
Remote-API
Daten vom Client
2). Um unsichere Zeichen zu entfernen, müssen Daten gefiltert werden, bevor sie die Speicherschicht der Anwendung erreichen. Zu den Daten, die gefiltert werden müssen, gehören unter anderem: HTML, SQL-Abfragen und Benutzerprofilinformationen.
HTML: Verwenden Sie die Funktion htmlentities()
, um HTML in entsprechende Entitäten zu filtern. Diese Funktion maskiert die angegebenen HTML-Zeichen für eine sichere Darstellung auf der Speicherebene. Die richtige Verwendung besteht darin, htmlentities($input, ENT_QUOTES, 'UTF-8')
zum Filtern der Eingabe zu verwenden. Oder verwenden Sie HTML Purifier. Nachteil ist langsam
SQL-Abfrage: Manchmal muss eine SQL-Abfrage basierend auf den Daten erstellt werden. Zu diesem Zeitpunkt müssen Sie PDO-Vorverarbeitungsanweisungen verwenden, um externe Daten zu filtern.
Benutzerprofilinformationen: Verwenden Sie filter_var()
und filter_input()
, um Benutzerprofilinformationen zu filtern
3). Verwenden Sie filter_var()
. Wenn die Überprüfung erfolgreich ist, wird der zu überprüfende Wert zurückgegeben, und wenn sie fehlschlägt, wird false zurückgegeben. Da diese Funktion jedoch nicht alle Daten überprüfen kann, können einige Komponenten der Überprüfungsfunktion verwendet werden. Zum Beispiel aura/filter oder symfony/validator
4) Escape-Ausgabe: Sie können weiterhin die Funktion htmlentities verwenden, und einige Template-Engines verfügen auch über eigene Escape-Funktionen.
Passwort
1).
2) Beschränken Sie niemals das Passwort des Benutzers. Wenn Sie es einschränken möchten, beschränken Sie es nur auf die Mindestlänge.
3). Verwenden Sie niemals E-Mail, um Benutzerpasswörter zu versenden. Sie können einen Link zum Ändern des Passworts mit einem Token senden, um zu überprüfen, ob es sich um den Benutzer handelt.
4). Verwenden Sie bcrypt, um den Hashwert des Benutzerpassworts zu berechnen. Verschlüsselung und Hashing sind nicht dasselbe. Verschlüsselung ist ein Zwei-Wege-Algorithmus und die verschlüsselten Daten können entschlüsselt werden. Beim Hashing handelt es sich jedoch um einen einzelnen Algorithmus, und die Daten nach dem Hashing können nicht wiederhergestellt werden. Die nach dem Hashing erhaltenen Daten sind immer dieselben. Verwenden Sie eine Datenbank, um den Wert zu speichern, nachdem Sie das Passwort mit bcrypt gehasht haben.
5). Verwenden Sie die Passwort-Hash-API, um die Berechnung von Passwort-Hashes und die Überprüfung von Passwörtern zu vereinfachen. Das Folgende ist die allgemeine Funktionsweise registrierter Benutzer
POST /register.php HTTP/1.1 Content-Length: 43 Content-type: application/x-www-form-urlencoded email=xiao@hello.world&password=nihao
Das Folgende ist die PHP-Datei, die diese Anfrage akzeptiert
<?php try { $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL); if (!$email) { throw new Exception('Invalid email'); } $password = filter_iput(INPUT_POST, 'password'); if (!$password || mb_strlen($password) < 8) { throw new Exception('Password must contain 8+ characters'); } //创建密码的哈希值 $passwordHash = password_hash( $password, PASSWORD_DEFAULT, ['cost' => 12] ); if ($passwordHash === false) { throw new Exception('Password hash failed'); } //创建用户账户,这里是虚构的代码 $user = new User(); $user->email = $email; $user->password_hash = $passwordHash; $user->save(); header('HTTP/1.1 302 Redirect'); header('Location: /login.php'); } catch (Exception $e) { header('HTTP1.1 400 Bad Request'); echo $e->getMessage(); }
6). Ändern Sie den dritten Wert von password_hash()
entsprechend der spezifischen Rechenleistung der Maschine. Die Berechnung des Hashwerts dauert im Allgemeinen 0,1 bis 0,5 Sekunden.
7). Der Hashwert des Passworts wird in einer Datenbankspalte vom Typ varchar(255)
gespeichert.
8). Allgemeiner Prozess zum Anmelden von Benutzern
POST /login.php HTTP1.1 Content-length: 43 Content-Type: application/x-www-form-urlencoded email=xiao@hello.wordl&pasword=nihao
session_start(); try { $email = filter_input(INPUT_POST, 'email'); $password = filter_iinput(INPUT_POST, 'password'); $user = User::findByEmail($email); if (password_verify($password, $user->password_hash) === false) { throw new Exception(''Invalid password); } //如果需要的话,重新计算密码的哈希值 $currentHasAlgorithm = PASSWORD_DEFAULT; $currentHashOptions = array('cost' => 15); $passwordNeedsRehash = password_needs_rehash( $user->password_hash, $currentHasAlgorithm, $currentHasOptions ); if ($passwordNeedsRehash === true) { $user->password_hash = password_hash( $password, $currentHasAlgorithm, $currentHasOptions ); $user->save(); } $_SESSION['user_logged_in'] = 'yes'; $_SESSION['user_email'] = $email; header('HTTP/1.1 302 Redirect'); header('Location: /user-profile.php'); } catch (Exception) { header('HTTP/1.1 401 Unauthorized'); echo $e->getMessage(); }
9). Die Passwort-Hashing-API vor PHP5.5.0 kann nicht verwendet werden. Es wird empfohlen, die Komponente ircmaxell/password-compat zu verwenden.
Verwandte Empfehlungen:
PHP-ÜberprüfungCodeklasse ValidateCode
PHP-Bestätigungscode-Klasseninstanzfreigabe
php überprüft, ob die eingegebene Mobiltelefonnummer legal ist
Das obige ist der detaillierte Inhalt vonPraktisches PHP-Tutorial: Filter-, Verifizierungs-, Escape- und Passwortmethoden. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!