소독에 대한 현대적인 접근 : input_post와 함께`filter_input`를 사용합니다

Filter_Input 함수를 사용하여 PHP의 게시물 입력을 처리하십시오. $ _post의 직접적인 사용으로 인한 XSS 및 SQL 주입의 위험을 피하면서 보안 액세스 및 필터 검증을 동시에 구현할 수 있기 때문입니다. 1. filter_sanitize_full_special_chars를 사용하여 특수 문자 탈출을 위해 더 이상 사용되지 않은 filter_sanitize_string을 대체합니다. 2. 올바른 데이터 형식을 보장하려면 filter_validate_email 및 filter_validate_int를 사용하십시오. 3. 배열 또는 다중 필드는 캡슐화 기능을 통해 배치 처리 될 수 있습니다. 4. PHP 8.1에주의를 기울여 일부 필터가 더 이상 사용되지 않았으며 HTMLSpecialchars, JSON_ENCODE 및 기타 함수와 같은 기능은 출력 탈출을 위해 맥락에서 사용해야합니다. 5. 현대적인 검증 라이브러리 또는 프레임 워크의 내장 메커니즘을 결합하여 보안을 더욱 향상시키는 것이 좋습니다. 안전하고 신뢰할 수있는 PHP 응용 프로그램을 구축하기 위해 항상 사용자 입력을 신뢰할 수없고 엄격하게 필터링하고 확인하십시오.

PHP에서 사용자 입력을 처리 할 때 특히 사후 요청을 통해 제출 된 데이터는 보안이 최우선 과제가되어야합니다. 입력을 소독하기위한 가장 효과적이고 자주 사용되지 않은 도구 중 하나는 INPUT_POST 와 결합 된 경우 PHP의 filter_input 기능입니다. 이 접근법은 유효성 검사없이 $_POST 슈퍼 글로벌에 직접 액세스하기위한 더 깨끗하고 안전한 대안을 제공합니다.

$_POST 대신 filter_input 사용하는 이유는 무엇입니까?

$_POST['field'] 에 직접 액세스하는 것은 편리한 것처럼 보일 수 있지만 입력이 올바르게 검증되고 위생화되지 않은 경우 다양한 보안 문제 (XSS), SQL 주입 또는 데이터 유형 불일치의 문을 열어줍니다. filter_input 함수는 한 단계에서 입력을 검색하고 소독 할 수있는 구조화 된 방법을 제공합니다.

 // 덜 안전합니다
$ username = $ _post [ 'username'];

// 더 안전합니다
$ username = filter_input (input_post, 'username', filter_sanitize_string);

filter_input 사용하면 입력에 안전하게 액세스 할 수있을뿐만 아니라 (키가 존재하지 않으면 null 리턴) 지정된 규칙에 따라 필터링됩니다.

일반적인 사용 사례에 대한 주요 필터

PHP는 다양한 내장 필터를 제공합니다. 다음은 INPUT_POST 있는 가장 일반적으로 사용되는 것입니다.

• FILTER_SANITIZE_STRING
  원치 않는 문자를 제거하거나 인코딩합니다. (참고 : PHP 8.1 기준으로 더 이상 사용되지 않음 - FILTER_SANITIZE_FULL_SPECIAL_CHARS 대신 사용하십시오.)

  

• FILTER_SANITIZE_FULL_SPECIAL_CHARS
htmlspecialchars() 및 htmlentities() 와 동일하며 XSS를 방지하기에 좋습니다.

• FILTER_VALIDATE_EMAIL
  입력이 유효한 이메일 형식인지 확인합니다.

• FILTER_VALIDATE_INT
  값이 정수임을 확인합니다.

• FILTER_SANITIZE_EMAIL
  이메일에서 불법 문자를 제거합니다.

• FILTER_SANITIZE_URL
  URL에서 불법 문자를 제거합니다.

예:

 $ email = filter_input (input_post, 'email', filter_validate_email);
$ age = filter_input (input_post, 'age', filter_validate_int);
$ name = filter_input (input_post, 'name', filter_sanitize_full_special_chars);

유효성 검사가 실패하면 (예 : 유효하지 않은 이메일) filter_input false 반환하여 쉽게 확인할 수 있습니다.

 if (! $ email) {
    다이 ( '잘못된 이메일 제공.');
}

처리 배열 및 여러 필드

filter_input 한 번에 하나의 키에서 작동하지만 루프 또는 헬퍼 기능을 사용하여 여러 필드 처리를 간소화 할 수 있습니다.

 함수 SanitizePost ($ fields) {
    $ sanitized = [];
    foreach ($ fields as $ key => $ 필터) {
        $ sanitized [$ key] = Filter_Input (input_post, $ 키, $ 필터);
    }
    다시 소독되었다.
}

// 용법
$ userData = sanitizepost ([[
    '이름'=> filter_sanitize_full_special_chars,
    '이메일'=> filter_validate_email,
    'age'=> filter_validate_int
]);

if (! $ userData [ 'email']) {
    echo "유효하지 않은 이메일.";
}

이 패턴은 입력 처리를 중앙 집중화하고 코드 가독성 및 유지 보수를 향상시킵니다.

감가 상각 및 현대 대안에 대한 메모

PHP 8.1 현재, FILTER_SANITIZE_STRING 과 같은 몇몇 "소독"필터는 잘못된 보안 감각을 제공 할 수 있기 때문에 더 이상 사용되지 않습니다. 예를 들어, 모든 컨텍스트 (예 : JavaScript 또는 CSS)에 대한 콘텐츠를 완전히 탈출하지는 않습니다. 지금 권장되는 연습은 다음과 같습니다.

• 출력 탈출을 위해 FILTER_SANITIZE_FULL_SPECIAL_CHARS 사용하십시오.
• FILTER_VALIDATE_* 사용하여 엄격하게 검증하십시오.
• htmlspecialchars() , json_encode() 등과 같은 적절한 함수를 사용하여 컨텍스트 (HTML, JS, CSS, URL)를 기반으로 한 탈출 출력.

또한 다음과 같은보다 현대적인 접근 방식을 사용하는 것을 고려하십시오.

• 입력 유효성 검사 라이브러리 (예 : 존중 \ 검증)
• 내장 요청 소독 (Symfony, Laravel)이있는 프레임 워크
• 허용 된 입력 값

최종 생각

INPUT_POST 를 사용한 filter_input PHP에서 양식 데이터 처리의 보안 및 신뢰성을 향상시키는 간단하지만 강력한 방법입니다. 은 총알은 아니지만 분산 입력 필터링을 장려하고 RAW $_POST 액세스에 대한 개혁을 줄입니다. 적절한 출력 탈출 및 검증 로직과 결합하여 안전한 PHP 응용 프로그램을위한 견고한 기반을 형성합니다.

일찍 사용하고 일관되게 사용하고 모든 사용자 입력을 신뢰할 수없는 것으로 취급하십시오.

위 내용은 소독에 대한 현대적인 접근 : input_post와 함께`filter_input`를 사용합니다의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!