Arahan peningkatan keselamatan untuk fungsi PHP-tutorial php-php.cn

Arahan peningkatan keselamatan untuk fungsi PHP

WBOY

Lepaskan： 2024-04-30 18:42:02

asal

450 orang telah melayarinya

Arahan penambahbaikan keselamatan untuk fungsi PHP termasuk: menggunakan petunjuk jenis untuk mengelakkan jenis data yang salah menggunakan pertanyaan berparameter untuk menghapuskan kelemahan suntikan SQL untuk menghalang serangan XSS untuk mengelakkan kod berniat jahat; perlindungan.

PHP 函数的安全性改进方向

Arahan untuk meningkatkan keselamatan fungsi PHP

Untuk meningkatkan keselamatan kod PHP, pelaksanaan fungsi adalah penting. Berikut ialah beberapa arahan utama untuk penambahbaikan keselamatan fungsi PHP:

1 Gunakan petunjuk jenis

Petua jenis boleh menghalang jenis data yang tidak dijangka daripada dihantar ke fungsi, yang membantu mengesan ralat lebih awal dan mencegah kemungkinan serangan.

function add($a, $b): int
{
    return $a + $b;
}

// 会引发 TypeError 异常
add('1', 2);

Salin selepas log masuk

2. Hapuskan Kerentanan SQL Injection

Kerentanan suntikan SQL boleh dieksploitasi dengan memasukkan pernyataan SQL yang berniat jahat ke dalam fungsi. Menggunakan pertanyaan berparameter menghalang serangan sedemikian.

$statement = $conn->prepare("SELECT * FROM users WHERE username = ?");
$statement->bind_param("s", $username);

Salin selepas log masuk

3. Cegah Serangan Skrip Merentas Tapak (XSS)

Serangan XSS melibatkan menyuntik skrip berniat jahat ke dalam fungsi dan mengeluarkannya ke penyemak imbas. Serangan jenis ini boleh dicegah dengan menggunakan pengekod HTML.

function echoHtml($html)
{
    echo htmlspecialchars($html);
}

Salin selepas log masuk

4. Sahkan input pengguna

Input pengguna boleh menjadi sumber kod hasad atau vektor serangan. Input pengguna hendaklah sentiasa disahkan sebelum menggunakannya.

if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) {
    throw new InvalidArgumentException();
}

Salin selepas log masuk

5 Gunakan perpustakaan keselamatan

PHP menyediakan perpustakaan keselamatan seperti PasswordHash, Crypto, dsb., yang boleh membantu menjana cincang selamat, menyulitkan dan menyahsulit data. . PasswordHash、Crypto 等安全库，可以帮助生成安全的哈希、加密和解密数据。

$hash = password_hash($password, PASSWORD_DEFAULT);

Salin selepas log masuk

实战案例

假设我们有一个处理用户输入并生成 SQL 语句的函数：

function generateSql($id)
{
    return "SELECT * FROM users WHERE id = $id";
}

Salin selepas log masuk

为了提高此函数的安全性，我们可以结合以下改进：

使用类型提示确保 $id

function generateSql($id): string
{
    $statement = $conn->prepare("SELECT * FROM users WHERE id = ?");
    $statement->bind_param("i", $id);

    return $statement;
}

Salin selepas log masuk

Kes praktikal

Andaikan kita mempunyai fungsi yang memproses input pengguna dan menjana pernyataan SQL:

🎜Gunakan petunjuk jenis untuk pastikan $id ialah integer. 🎜🎜Gunakan pertanyaan berparameter untuk mengelakkan kelemahan suntikan SQL. 🎜🎜rrreee🎜Dengan mengamalkan langkah keselamatan ini, kami boleh mengurangkan risiko fungsi PHP dieksploitasi dengan ketara, sekali gus meningkatkan keselamatan keseluruhan aplikasi kami. 🎜

Atas ialah kandungan terperinci Arahan peningkatan keselamatan untuk fungsi PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!