Expérience d'apprentissage PHP : Comment écrire du code sécurisé

Expérience d'apprentissage PHP : Comment écrire du code sécurisé

À l'ère d'Internet, avec le développement rapide de l'information, la sécurité des réseaux est devenue un problème de plus en plus important. En tant que développeur apprenant PHP, écrire du code sécurisé est notre responsabilité incontournable. Cet article partagera quelques informations sur la façon d'écrire du code PHP sécurisé, ainsi que quelques exemples de code.

1. Validation des entrées
   La validation des entrées est la première étape de l'écriture d'un code sécurisé. Toutes les données obtenues à partir des entrées des utilisateurs doivent être validées pour empêcher les utilisateurs malveillants de soumettre des données malveillantes. Voici un exemple simple qui montre comment vérifier un numéro de mobile :

function validatePhoneNumber($phoneNumber) {
   $pattern = "/^[1-9]d{10}$/";
   if (preg_match($pattern, $phoneNumber)) {
      // 验证通过，继续处理逻辑
   } else {
      // 验证失败，给出错误提示
   }
}

2. Filtrage de sortie
   Assurez-vous de filtrer les données avant de les afficher sur la page frontale. Cela garantit que les scripts malveillants soumis par les utilisateurs ne seront pas exécutés et évite les vulnérabilités XSS (cross-site scripting Attacks). Voici un exemple simple de filtrage de sortie :

function filterOutput($string) {
   return htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
}

// 输出到前端页面
echo filterOutput($userInput);

3. Database Security
   Transmettre les entrées utilisateur directement à une requête de base de données est très dangereux et vulnérable aux attaques par injection SQL. Pour éviter cette situation, vous pouvez utiliser des instructions préparées et des liaisons de paramètres pour traiter les requêtes de base de données et protéger la sécurité de la base de données. Voici un exemple utilisant des instructions préparées et une liaison de paramètres :

$pdo = new PDO("mysql:host=localhost;dbname=myDatabase", "username", "password");

$statement = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$statement->bindParam(':username', $username);
$statement->bindParam(':password', $password);

$statement->execute();

$result = $statement->fetch(PDO::FETCH_ASSOC);

4. Téléchargement de fichiers
   La fonction de téléchargement de fichiers est une fonction couramment utilisée, mais elle constitue également un risque potentiel pour la sécurité. Des restrictions raisonnables doivent être imposées sur les fichiers téléchargés, notamment le type de fichier, la taille du fichier, etc., pour garantir que les utilisateurs ne peuvent pas télécharger de fichiers malveillants ou de fichiers volumineux occupant les ressources du serveur. Voici un exemple de téléchargement de fichier :

if ($_FILES["file"]["size"] > 2000000) {
   echo "文件过大";
   exit;
}

$allowedFileType = array("pdf", "doc", "jpg", "png");
$allowedFileSize = 500000;

$uploadedFileType = strtolower(pathinfo($_FILES["file"]["name"], PATHINFO_EXTENSION));
if (!in_array($uploadedFileType, $allowedFileType)) {
   echo "不支持的文件类型";
   exit;
}

if ($_FILES["file"]["size"] > $allowedFileSize) {
   echo "文件过大";
   exit;
}

// 保存上传文件
move_uploaded_file($_FILES["file"]["tmp_name"], "uploads/" . $_FILES["file"]["name"]);

En prêtant attention aux aspects ci-dessus, nous pouvons considérablement améliorer notre capacité à écrire du code PHP sécurisé et à protéger les données des utilisateurs et la sécurité du système. Bien entendu, il ne s’agit que de quelques mesures de sécurité de base. Nous devons également continuer à apprendre et à prêter attention aux dernières technologies de sécurité pour faire face à l’évolution des menaces de sécurité des réseaux. J'espère que ces informations seront utiles aux développeurs qui apprennent PHP.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!