简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP フォーム セキュリティ ソリューション: 安全なファイル ディレクトリ チェック方法を使用する

WBOY
リリース: 2023-06-24 16:20:01
オリジナル
918 人が閲覧しました

インターネットの急速な発展により、私たちは Web ページを通じてフォームを送信したり情報を収集したりすることに慣れてきました。ただし、フォームに含まれる情報はハッカーの攻撃にさらされることが多いため、Web サイトを開発する場合はフォームを攻撃から保護するために何らかのセキュリティ対策を講じる必要があります。この記事では、安全なファイル ディレクトリ検査方法を使用して PHP フォームを保護する方法について説明します。

PHP フォームのセキュリティ問題

一般的な Web フォームでは、ユーザーはテキスト、数値、日付などのさまざまな種類のデータを入力できます。このデータはサーバーに保存され、他のページからアクセスまたは変更される可能性があります。保護しないままにしておくと、ハッカーがさまざまな方法でこの情報を攻撃する可能性があります。一般的な攻撃方法は次のとおりです。

クロスサイト スクリプティング攻撃 (XSS): 攻撃者は、被害者の機密情報を取得するために、悪意のあるコードをフォームに挿入します。

SQL インジェクション攻撃: 攻撃者は、悪意のある SQL コードをフォームに入力することによって、データベース内の機密情報を盗み、変更、または削除します。

ファイル アップロードの脆弱性: 攻撃者は悪意のあるファイルをアップロードすることで任意のコードを実行する可能性があります。

したがって、開発者はフォームを保護し、ハッカーがこれらの脆弱性を悪用して Web サイトを攻撃するのを防ぐための措置を講じる必要があります。以下では、PHP の安全なファイル ディレクトリ検査方法を使用してフォームのセキュリティを保護する方法について説明します。

PHP の安全なパス チェック方法を使用する

PHP フォーム コードを作成するときは、realpath() や Basename() などの PHP の組み込みパス関数を使用するのが最善です。以下に、知っておく必要がある関数と変数をいくつか示します。

realpath(): 相対パスを絶対パスに解析して返します。パスを解決できない場合は false が返されます。

basename(): パスのファイル名部分を返します。

$_SERVER['DOCUMENT_ROOT']: この変数には、現在の PHP スクリプトのルート ディレクトリが含まれます。

これらの関数を使用してファイル パスを確認する方法のサンプル コードを次に示します。

  1. 正当なパスであるかどうかを確認する
if (realpath($_POST['file']) === false) {
    //非法路径,不进行处理
    return;
}
ログイン後にコピー
  1. アップロードするファイル名が一意であることを確認してください
$target_dir = $_SERVER['DOCUMENT_ROOT'] . "/uploads/"; //定义上传目录
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]); //获取上传文件名

//确保文件名唯一
$i = 0;
while (file_exists($target_file)) {
    $i++;
    $target_file = $target_dir . $i . '_' . basename($_FILES["fileToUpload"]["name"]);
}
ログイン後にコピー
  1. ファイルの種類を確認してください
$allowed_types = array('image/jpeg', 'image/png', 'image/gif');
if (!in_array($_FILES["fileToUpload"]["type"], $allowed_types)) {
    //文件类型不匹配,不进行处理
    return;
}
ログイン後にコピー
  1. 最大ファイル サイズを設定してください
$max_size = 1024 * 1024 * 5; //5MB
if ($_FILES["fileToUpload"]["size"] > $max_size) {
    //文件太大,不进行处理
    return;
}
ログイン後にコピー

注: これらのコードは、基本的なセキュリティ チェック方法のみを提供するため、開発者はフォームのセキュリティを確保するために、独自のニーズに応じて適切な変更や補足を行う必要があります。

結論

安全なファイル ディレクトリ検査方法を使用すると、PHP フォームのセキュリティを効果的に保護し、ハッカーの攻撃を防ぐことができます。 PHP フォームを作成する場合、開発者は PHP の組み込みパス関数と変数の使用に慣れ、必要に応じて適切なセキュリティ チェックを行う必要があります。最も重要なことは、開発者は Web サイトのセキュリティを保護するために常に警戒し、脆弱性を迅速に更新してパッチを適用する必要があることです。

以上がPHP フォーム セキュリティ ソリューション: 安全なファイル ディレクトリ チェック方法を使用するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php フォームセキュリティ ファイルディレクトリのチェック
ソース:php.cn
前の記事:PHP フォーム保護のヒント: フォームの繰り返し送信を防ぐ方法 次の記事:入力文字列が正しい携帯電話番号、固定電話番号、または 400 電話番号形式であるかどうかを確認するための PHP 正規表現
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
PHPのwhileループを使用してIDごとにセクション内のデータをリストするにはどうすればよいですか? これらの列を持つ mysql テーブルがあります: series_id、series_color、product_name 出力では、次のように series_id ごとに 1 つ...
から 2023-11-17 20:03:03
0
1
290
未定義関数 create_function() の呼び出し Web サイトのホームページに次のメッセージが表示されます。 致命的なエラー: 捕捉されないエラー: /customers/7/e/7/jovobytes.be/httpd.www...
から 2023-11-16 19:00:36
0
1
277
<?php //年、月、日を指定すると、その日付がその年の何日かを出力します (閏年は 4 100 400 であることに注意してください) <?php // 年、月、日を指定すると、その日付がその年の何日かを出力します (閏年は 4 100 400 であることに注意してください) //使用できる技術ルート...
から 2023-11-14 23:55:21
0
1
79
PHP は Unicode スペースをトリミングします この文字のような Unicode スペースをトリミングしようとしていますが、このソリューションを使用してそれを行うことができました。この解決策の問題は、通常の文字間の Unicod...
から 2023-11-13 08:49:45
0
2
398
TYPO3 V11: 「PHP 警告: 未定義の配列キー」、$this->request->getArguments() が空です 私は typo3 の新規ユーザーです。ユーザーを表示し、検索バーを使用してフィルターするプラグインを作成しましたが、ページを表示しようとすると、次のエラーが表示されます: (1/1...
から 2023-11-12 21:35:09
0
1
362
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!