Arahan penambahbaikan keselamatan untuk fungsi PHP termasuk: menggunakan petunjuk jenis untuk mengelakkan jenis data yang salah menggunakan pertanyaan berparameter untuk menghapuskan kelemahan suntikan SQL untuk menghalang serangan XSS untuk mengelakkan kod berniat jahat; perlindungan.
Arahan untuk meningkatkan keselamatan fungsi PHP
Untuk meningkatkan keselamatan kod PHP, pelaksanaan fungsi adalah penting. Berikut ialah beberapa arahan utama untuk penambahbaikan keselamatan fungsi PHP:
1 Gunakan petunjuk jenis
Petua jenis boleh menghalang jenis data yang tidak dijangka daripada dihantar ke fungsi, yang membantu mengesan ralat lebih awal dan mencegah kemungkinan serangan.
function add($a, $b): int { return $a + $b; } // 会引发 TypeError 异常 add('1', 2);
2. Hapuskan Kerentanan SQL Injection
Kerentanan suntikan SQL boleh dieksploitasi dengan memasukkan pernyataan SQL yang berniat jahat ke dalam fungsi. Menggunakan pertanyaan berparameter menghalang serangan sedemikian.
$statement = $conn->prepare("SELECT * FROM users WHERE username = ?"); $statement->bind_param("s", $username);
3. Cegah Serangan Skrip Merentas Tapak (XSS)
Serangan XSS melibatkan menyuntik skrip berniat jahat ke dalam fungsi dan mengeluarkannya ke penyemak imbas. Serangan jenis ini boleh dicegah dengan menggunakan pengekod HTML.
function echoHtml($html) { echo htmlspecialchars($html); }
4. Sahkan input pengguna
Input pengguna boleh menjadi sumber kod hasad atau vektor serangan. Input pengguna hendaklah sentiasa disahkan sebelum menggunakannya.
if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) { throw new InvalidArgumentException(); }
5 Gunakan perpustakaan keselamatan
PHP menyediakan perpustakaan keselamatan seperti PasswordHash
, Crypto
, dsb., yang boleh membantu menjana cincang selamat, menyulitkan dan menyahsulit data. . PasswordHash
、Crypto
等安全库,可以帮助生成安全的哈希、加密和解密数据。
$hash = password_hash($password, PASSWORD_DEFAULT);
实战案例
假设我们有一个处理用户输入并生成 SQL 语句的函数:
function generateSql($id) { return "SELECT * FROM users WHERE id = $id"; }
为了提高此函数的安全性,我们可以结合以下改进:
$id
function generateSql($id): string { $statement = $conn->prepare("SELECT * FROM users WHERE id = ?"); $statement->bind_param("i", $id); return $statement; }
Andaikan kita mempunyai fungsi yang memproses input pengguna dan menjana pernyataan SQL:
rrreee🎜Untuk meningkatkan keselamatan fungsi ini, kita boleh menggabungkan penambahbaikan berikut: 🎜Atas ialah kandungan terperinci Arahan peningkatan keselamatan untuk fungsi PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!