원시 입력에서 안전한 데이터로 : PHP의 정의 워크 플로우 $ _get Superglobal

항상 $ \ _ 데이터를 신뢰할 수없는 것으로 처리하십시오. 2. isset () 또는 Null Coalescing을 사용하여 매개 변수가 존재하는지 확인하십시오. 3. 예상 유형을 기준으로 소독 할 수 있습니다 - 정수의 경우 필터 \ _validate \ _int, 문자열의 경우 htmlspecialchars (), 필터 \ _validate \ _boolean; 4. 허용 값 또는 범위 제약과 같은 비즈니스 로직에 대해 검증; 5. 컨텍스트에 대한 적절한 출력 (예 : htmlspecialchars (), html, sql에 대한 준비된 진술); 6. $ \ _를 통해 민감한 데이터를 전달하지 마십시오. 7. 학대를 방지하기 위해 입력 길이 검사 및 요금 제한을 구현합니다. 완전한 워크 플로우는 입력을 필터링하고 출력을 피하고 모든 입력이 잠재적으로 악의적이라고 가정하여 RAW $ \ _ get 입력이 안전하고 신뢰할 수있는 데이터로 변환되도록합니다.

사용자 입력을 안전하게 처리하는 것은 웹 개발의 가장 중요한 측면 중 하나입니다. PHP의 SuperGlobals 중에서 $_GET URL 매개 변수에서 데이터를 검색하는 데 자주 사용되지만 제대로 처리되지 않은 경우 보안 취약점의 일반적인 진입 점이기도합니다. 이 가이드는 결정적인 실제 워크 플로를 안내하여 RAW $_GET 입력을 안전하고 유용한 데이터로 변환합니다.

1. 항상 $_GET 은 신뢰할 수 없다고 가정합니다

첫 번째 규칙 : 기본적으로 $_GET 데이터를 안전하게 취급하지 마십시오 . URL에서 오는 모든 값은 사용자 또는 공격자가 조작 할 수 있습니다. 링크가 서버 측면 생성 되더라도 사용자는 쿼리 문자열을 수동으로 변경할 수 있습니다.

예를 들어:

 https://example.com/user.php?id=5

누군가를 변경할 수 있습니다.

 https://example.com/user.php?id=999 '또는'1 '='1

그렇기 때문에 검증 및 살인 화가 협상 할 수없는 이유입니다.

2. 매개 변수가 있는지 확인하십시오

$_GET 매개 변수에 액세스하기 전에 정의되지 않은 인덱스 통지를 피하기 위해 항상 존재하는지 확인하십시오.

 if (isset ($ _ get [ 'id'])) {
    $ raw_id = $ _get [ 'id'];
} 또 다른 {
    // 누락 된 매개 변수를 처리합니다
    다이 ( 'ID가 필요하다');
}

또는 클리너 구문을 위해 Null Coalescing을 사용하십시오.

 $ raw_id = $ _get [ 'id'] ?? 널;

$raw_id 가 null 이면 리디렉션, 오류를 표시하거나 기본값을 적용 할 수 있습니다.

3. 예상 데이터 유형을 기반으로 소독합니다

매개 변수가 존재한다는 것을 알면 어떤 종류의 데이터를 기대하는지에 따라 소독하십시오.

정수의 경우 :

FILTER_SANITIZE_NUMBER_INT 와 함께 filter_var() 사용하십시오. 그러나 엄격한 유형 확인이 필요한 경우 FILTER_VALIDATE_INT 로 검증하십시오.

 $ id = filter_var ($ _ get [ 'id'], filter_validate_int);

if ($ id === false) {
    다이 ( '유효하지 않은 ID');
}

참고 : FILTER_SANITIZE_NUMBER_INT 정수를 보장하지 않습니다. 유효하지 않은 숯을 제거하지만 123abc 와 같은 문자열을 123 으로 둡니다. 유형 무결성이 중요 할 때 유효성 검사를 사용하십시오.

문자열 :

컨텍스트에 따라 흰색 스페이스를 다듬거나 스트립 또는 위험한 캐릭터를 탈출하십시오.

 $ search = trim ($ _ get [ 'q'] ?? '');
$ search = filter_var ($ search, filter_sanitize_string, filter_flag_strip_low);

PHP 8.1 (더 이상 사용되지 않음)에서 FILTER_SANITIZE_STRING 피하십시오. 수동 청소를 고려하십시오.

 $ search = htmlspecialchars (trim ($ _ get [ 'q'] ?? '', Ent_quotes, 'utf-8');

이렇게하면 HTML에서 출력을 위해 문자열이 준비되어 XSS가 방지됩니다.

부울 :

 $ active = filter_var ($ _ get [ 'active'] ?? '', filter_validate_boolean);

"1", "true", "on"등에 대해 true 반환합니다.

4. 비즈니스 논리에 대해 검증하십시오

소독만으로는 충분하지 않습니다. 데이터가 맥락에서 의미하는지 여부를 확인해야합니다.

예를 들어, 페이지 번호를 기대하는 경우 :

 $ page = filter_var ($ _ get [ 'page'] ?? 1, filter_validate_int, [
    '옵션'=> [ 'default'=> 1, 'min_range'=> 1, 'max_range'=> 1000]]
]);

또는 허용 된 값에 대한 유효성 검사 :

 $ sort = $ _get [ 'sort'] ?? '이름';
$ allend_sorts = [ 'name', 'date', 'price'];
$ sort = in_array ($ sort, $ allend_sorts)? $ 정렬 : '이름';

5. 출력을 적절하게 탈출하십시오

소독 입력 후에도 컨텍스트에 따라 출력을 탈출합니다 .

• HTML 출력 : htmlspecialchars()
• SQL 쿼리 : 준비된 진술을 사용합니다 (절대로 연결하지 마십시오)
• javaScript/json : json_encode() 올바른 탈출
• urls : 매개 변수의 경우 urlencode()

HTML의 예 :

 echo &#39;<h1> 검색 :&#39;. htmlspecialchars ($ search, ent_quotes, &#39;utf-8&#39;). &#39;</h1>&#39;;

PDO (SQL)의 예 :

 $ stmt = $ pdo-> 준비 ( "id =??");
$ stmt-> execute ([$ id]);

6. HTTPS를 사용하고 $_GET 에서 민감한 데이터를 피하십시오

쿼리 문자열을 통해 민감한 데이터 (토큰, 암호, pii)를 전달하지 마십시오. 서버 로그, 브라우저 기록 및 참조자 헤더로 기록됩니다.

대신 $_POST 또는 세션을 사용하십시오.

또한 사이트에서 HTTPS를 사용하여 대중 교통 데이터를 암호화하는지 확인하십시오.

7. 필요한 경우 한계와 스로틀을 설정하십시오

$_GET 사용하는 공개 엔드 포인트의 경우 학대를 방지하기 위해 속도 제한 또는 입력 길이 제한을 고려하십시오.

 if (strlen ($ _ get [ 'q'] ?? '')> 100) {
    다이 ( '검색 쿼리가 너무 길다');
}

요약 워크 플로

완전한 안전한 워크 플로는 다음과 같습니다.

• ✅ 키가 있는지 확인하십시오 : $_GET['key'] ?? null
• ✅ 유형 (int, string, bool)을 기반으로 소독
• provents 예상 형식 및 비즈니스 규칙에 대해 검증하십시오
• presppute 전에 탈출하거나 쿼리로 사용합니다
• hls URL의 민감한 데이터를 피하십시오
• https를 사용하고 남용을 모니터링하십시오

$_GET 사용하면 위험 할 필요가 없습니다. 징계 된 워크 플로 (사양, 검증 및 탈출)를 사용하면 원시적이고 위험한 입력을 안전하고 신뢰할 수있는 데이터로 바꿉니다. 키는 "간단한"매개 변수의 경우에도 단계를 건너 뛰는 것입니다.

기본적으로 : 필터 입력, 탈출 출력 및 모든 $_GET 값이 나가기 위해 나오라고 가정합니다.

위 내용은 원시 입력에서 안전한 데이터로 : PHP의 정의 워크 플로우 $ _get Superglobal의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!