PHP-Lernerfahrung: Wie man sicheren Code schreibt

PHP-Lernerfahrung: Wie man sicheren Code schreibt

Im Zeitalter des Internets ist die Netzwerksicherheit mit der rasanten Entwicklung von Informationen zu einem immer wichtigeren Thema geworden. Als Entwickler, der PHP lernt, ist das Schreiben von sicherem Code unsere unumstößliche Verantwortung. In diesem Artikel erhalten Sie einige Einblicke in das Schreiben von sicherem PHP-Code sowie einige Codebeispiele.

1. Eingabevalidierung
   Die Eingabevalidierung ist der erste Schritt beim Schreiben von sicherem Code. Alle aus Benutzereingaben gewonnenen Daten müssen validiert werden, um zu verhindern, dass böswillige Benutzer böswillige Daten übermitteln. Hier ist ein einfaches Beispiel, das zeigt, wie eine Mobiltelefonnummer überprüft wird:

function validatePhoneNumber($phoneNumber) {
   $pattern = "/^[1-9]d{10}$/";
   if (preg_match($pattern, $phoneNumber)) {
      // 验证通过，继续处理逻辑
   } else {
      // 验证失败，给出错误提示
   }
}

2. Ausgabefilterung
   Stellen Sie sicher, dass Sie die Daten filtern, bevor Sie sie auf der Frontend-Seite ausgeben. Dadurch wird sichergestellt, dass von Benutzern übermittelte bösartige Skripte nicht ausgeführt werden, und XSS-Schwachstellen (Cross-Site-Scripting-Angriffe) werden vermieden. Hier ist ein einfaches Beispiel für die Ausgabefilterung:

function filterOutput($string) {
   return htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
}

// 输出到前端页面
echo filterOutput($userInput);

3. Datenbanksicherheit
   Die direkte Weitergabe von Benutzereingaben an eine Datenbankabfrage ist sehr gefährlich und anfällig für SQL-Injection-Angriffe. Um diese Situation zu vermeiden, können Sie vorbereitete Anweisungen und Parameterbindungen verwenden, um Datenbankabfragen zu verarbeiten und die Sicherheit der Datenbank zu schützen. Hier ist ein Beispiel mit vorbereiteten Anweisungen und Parameterbindung:

$pdo = new PDO("mysql:host=localhost;dbname=myDatabase", "username", "password");

$statement = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$statement->bindParam(':username', $username);
$statement->bindParam(':password', $password);

$statement->execute();

$result = $statement->fetch(PDO::FETCH_ASSOC);

4. Datei-Upload
   Die Funktion zum Hochladen von Dateien ist eine häufig verwendete Funktion, stellt jedoch auch ein potenzielles Sicherheitsrisiko dar. Den hochgeladenen Dateien sollten angemessene Beschränkungen auferlegt werden, einschließlich Dateityp, Dateigröße usw., um sicherzustellen, dass Benutzer keine schädlichen Dateien oder große Dateien hochladen können, die Serverressourcen beanspruchen. Das Folgende ist ein Beispiel für das Hochladen einer Datei:

if ($_FILES["file"]["size"] > 2000000) {
   echo "文件过大";
   exit;
}

$allowedFileType = array("pdf", "doc", "jpg", "png");
$allowedFileSize = 500000;

$uploadedFileType = strtolower(pathinfo($_FILES["file"]["name"], PATHINFO_EXTENSION));
if (!in_array($uploadedFileType, $allowedFileType)) {
   echo "不支持的文件类型";
   exit;
}

if ($_FILES["file"]["size"] > $allowedFileSize) {
   echo "文件过大";
   exit;
}

// 保存上传文件
move_uploaded_file($_FILES["file"]["tmp_name"], "uploads/" . $_FILES["file"]["name"]);

Indem wir die oben genannten Aspekte beachten, können wir unsere Fähigkeit, sicheren PHP-Code zu schreiben und Benutzerdaten und Systemsicherheit zu schützen, erheblich verbessern. Natürlich sind dies nur einige grundlegende Sicherheitsmaßnahmen. Wir müssen auch weiterhin die neuesten Sicherheitstechnologien erlernen und ihnen Aufmerksamkeit schenken, um mit sich entwickelnden Netzwerksicherheitsbedrohungen umzugehen. Ich hoffe, dass diese Erkenntnisse für Entwickler hilfreich sein werden, die PHP lernen.

Das obige ist der detaillierte Inhalt vonPHP-Lernerfahrung: Wie man sicheren Code schreibt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!