PHPのXSSを防ぐためにユーザー入力をサニタイズする方法は？

PHPのXSSを防ぐために、html、json_encode（）for javascriptのhtmlspecialchars（）を使用してコンテキストに基づいてユーザー入力をサニタイズし、エスケープ出力を除外し、予想データ型のfilter_var（）で厳密に検証しながら、非難された機能を回避し、コンテンツセキュリティとポリックヘッダーを使用して保護を追加します。

PHPでクロスサイトスクリプト（XSS）を防ぐには、ユーザー入力を適切に消毒することが不可欠です。目標は、フォーム、URL、またはAPIを通じてユーザーから受信したデータが、ブラウザによって実行可能コードとして解釈されることを保証することです。入力を効果的に消毒し、アプリケーションを保護する方法は次のとおりです。

コンテキストに基づいて出力をエスケープします

入力の消毒だけに頼らないでください。ページ内の場所に応じて、常に出力をエスケープしてください。これは、XSSを防ぐ最も効果的な方法です。

• HTMLコンテンツにデータを出力するときにhtmlspecialchars（）を使用します。
echo htmlspecialchars（$ userInput、ent_quotes、 'utf-8'）;
• JavaScriptコンテキストの場合、 json_encode（）を使用してデータを安全に埋め込みます。
<script> var userData =<?= json_encode($userInput, JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT); ?> ; </script>
• htmlspecialchars（）がそれらのコンテキストを保護しないため、CSSまたはURLを挿入するときは、より厳格なフィルタリングまたは検証を適用します。

入力を厳密に検証します

サニタイゼーションは、強力な検証と並んで最適に機能します。予想されるデータ型とフォーマットのみを許可します。

• 数字の場合： filter_validate_intまたはfilter_validate_floatを使用してfilter_var（）を使用します
• メールの場合： Filter_Var（$ email、filter_validate_email）
• 文字列の場合：正規表現を使用して許可されたパターンを定義するか、キャラクターのホワイトリストに対して確認してください
• すべてを「クリーン」しようとするのではなく、期待と一致しない入力を拒否する

サニタイゼーションのために組み込みのフィルター関数を使用します

PHPは、一般的な入力タイプを消毒するためにfilter_var（）関数を提供します。

• タグを削除して特別なchars： filter_var（$ input、filter_sanitize_string） （php 8.1で非推奨なので、新しいプロジェクトでは避けてください）
• 消毒メール： filter_var（$ email、filter_sanitize_email）
• urlを消毒する： filter_var（$ url、filter_sanitize_url）

最新のPHPバージョンでは、手動での検証を好み、非推奨フィルターよりも脱出します。

危険なコンテキストで生のユーザー入力を避けてください

適切な取り扱いなしに、ユーザーデータをHTML属性、JavaScript、CSS、またはSQLに直接挿入しないでください。

• eval（） 、 innerhtml 、または動的スクリプトブロックでユーザー入力を使用しないでください
• HTMLを受け入れる必要がある場合（たとえば、リッチテキストエディターから）、 HTML浄化器のような信頼できるライブラリを使用して、安全な要素とストリップ悪意のあるスクリプトに使用します
• 潜在的なXSSの影響を減らすために、コンテンツセキュリティポリティ（CSP）ヘッダーを設定します

基本的に、慎重に消毒し、厳密に検証し、出力で徹底的に逃げます。 1つのメソッドに依存するだけでは十分ではありません。レイアリングされた防御は、アプリをより安全に保ちます。

以上がPHPのXSSを防ぐためにユーザー入力をサニタイズする方法は？の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。