Comment empêcher le piratage des formulaires PHP ?

Comment empêcher le piratage des formulaires PHP ?

Avec le développement d'Internet, les sites Web sont devenus une plateforme importante permettant aux gens d'obtenir des informations, de partager du contenu et de communiquer. Les formulaires sur les sites Web sont souvent utilisés par les utilisateurs pour soumettre des données, enregistrer des comptes, laisser des messages et d'autres fonctions. Cependant, en raison de l'existence de pirates informatiques, les données de nos formulaires sont facilement attaquées et falsifiées, provoquant de graves problèmes de sécurité. Afin d'empêcher les formulaires PHP d'être attaqués par des pirates informatiques, nous présenterons ci-dessous quelques mesures de protection de sécurité courantes et des exemples de code associés.

1. Validation des entrées
   Les pirates utilisent souvent des zones de saisie dans les formulaires pour injecter du code nuisible, tel que l'injection SQL, les attaques XSS, etc. Par conséquent, nous devons valider et filtrer les entrées des utilisateurs pour garantir que les données saisies répondent au format et aux exigences attendus.
   Ce qui suit est un exemple simple pour vérifier si le nom d'utilisateur dans le formulaire répond aux exigences de format (contient uniquement des lettres, des chiffres et des traits de soulignement, et comporte entre 5 et 15 caractères) :

$username = $_POST['username'];
if (!preg_match("/^[a-zA-Z0-9_]{5,15}$/", $username)) {
  // 用户名格式错误，进行相应处理
}

2. Prévenir les attaques de scripts intersites (XSS)
   Les attaques XSS font référence à des attaquants qui injectent des scripts malveillants dans des pages Web, provoquant le vol ou la falsification des données des utilisateurs. Afin de prévenir les attaques XSS, nous devons filtrer et échapper aux données d'entrée et de sortie de l'utilisateur.
   Ce qui suit est un exemple simple de filtrage des entrées utilisateur :

$content = $_POST['content'];
$filtered_content = htmlspecialchars($content);
// 使用$filtered_content继续进行下一步处理

3. Prévention de la falsification de requêtes intersites (CSRF)
   Une attaque CSRF fait référence à un pirate informatique qui effectue une attaque en déguisant ou en persuadant un utilisateur de se connecter à un site Web. Opération malveillante. Afin de prévenir les attaques CSRF, nous pouvons utiliser le mécanisme de vérification des jetons.
   Ce qui suit est un exemple simple pour générer et vérifier des jetons :

session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  $token = $_POST['token'];
  if (!isset($_SESSION['token']) || $token !== $_SESSION['token']) {
    // token验证失败，进行相应处理
  } else {
    // token验证通过，进行正常处理
  }
} else {
  $token = md5(uniqid(rand(), true));
  $_SESSION['token'] = $token;
  // 在表单中使用<input type="hidden" name="token" value="<?php echo $token; ?>" />将token传递给后端
}

4. Sécurité de la base de données
   Lorsque nous stockons les données utilisateur dans la base de données, nous devons faire attention à empêcher les attaques par injection SQL. Nous devrions utiliser des requêtes SQL paramétrées au lieu de fusionner directement les instructions SQL à l'aide de la saisie de l'utilisateur.
   Ce qui suit est un exemple simple utilisant des instructions préparées par PDO pour les requêtes SQL :

$username = $_POST['username'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username = :username AND password = :password";
$stmt = $pdo->prepare($sql);
$stmt->bindValue(':username', $username);
$stmt->bindValue(':password', $password);
$stmt->execute();
// 处理查询结果

En bref, afin d'empêcher le piratage des formulaires PHP, nous devons effectuer une validation des entrées, empêcher les attaques XSS, empêcher les attaques CSRF et protéger la base de données. sécurité . Nous espérons que les mesures de protection de sécurité et les exemples de code ci-dessus pourront vous aider à mieux protéger votre site Web et vos données utilisateur.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!