保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践-小浪资源网

保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践

保护您的 PHP 应用程序涉及保护其免受常见漏洞的影响，例如 sql 注入、跨站点脚本 (xss)、跨站点请求伪造 (csrf)、会话劫持和文件包含攻击。这是一个带有逐部分描述的实践示例，可帮助您了解如何保护 php 应用程序。

1. 防止sql注入

当攻击者可以将恶意 sql 语句注入您的查询时，就会发生 sql 注入。将准备好的语句与参数化查询一起使用可以避免这种情况。

示例：

<?php // insecure version $user_id = $_get['id']; $query = "select * from users where id = '$user_id'"; $result = mysqli_query($connection, $query);  // secure version $user_id = $_get['id']; $stmt = $connection->prepare("select * from users where id = ?"); $stmt-&gt;bind_param("i", $user_id);  // "i" for integer $stmt-&gt;execute(); $result = $stmt-&gt;get_result(); ?&gt;

登录后复制

说明：

准备好的语句将 sql 查询与数据分开，防止恶意代码注入。
bind_param 将 $user_id 绑定到 sql 语句，不允许直接输入修改查询结构。

2. 防止跨站脚本（xss）

当攻击者将恶意脚本注入其他用户查看的网页时，就会发生 xss。为了避免这种情况，请始终对输出进行清理和编码。

立即学习“PHP免费学习笔记（深入）”；

示例：

<?php // insecure version echo "<p>welcome, " . $_get['username'] . "";  // secure version echo "<p>welcome, " . htmlspecialchars($_get['username'], ent_quotes, 'utf-8') . "</p>"; ?&gt;

登录后复制

说明：

htmlspecialchars 将特殊字符（如）转换为 html 实体，中和用户输入中嵌入的任何脚本。
ent_quotes 转义单引号和双引号，使 html 属性中的输出更安全。

3. 防止跨站请求伪造（csrf）

当攻击者诱骗用户在用户不知情的情况下在网站上执行操作时，就会发生 csrf。通过使用令牌来防止csrf。

示例：

<?php // generate csrf token session_start(); if (empty($_session['csrf_token'])) {     $_session['csrf_token'] = bin2hex(random_bytes(32)); }  // add token to form echo '<form method="post" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_session['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="submit">'; echo ''; ?&gt;

登录后复制

在submit.php中：

<?php session_start(); if ($_post['csrf_token'] !== $_session['csrf_token']) {     die("csrf token validation fAIled."); }  // process form data $data = $_post['data']; ?>

登录后复制

说明：

每个会话都会生成一个唯一的 csrf 令牌，并作为隐藏字段添加到表单中。
提交表单时，将检查令牌。如果与存储的会话令牌不匹配，则请求将被拒绝。

4. 防止会话劫持

保护您的会话以避免会话劫持。这包括设置严格的会话配置和重新生成会话id。

示例：

<?php session_start();  // regenerate session id to avoid fixation attacks session_regenerate_id(true);  // configure secure session parameters ini_set('session.Cookie_httponly', 1); // prevent JavaScript access to session cookies ini_set('session.cookie_secure', 1);   // ensure cookies are sent over https ini_set('session.use_strict_mode', 1); // prevent accepting uninitialized session ids  // set session timeout $_session['last_activity'] = time(); // update last activity time if (time() - $_session['last_activity'] > 1800) { // 30 minutes timeout     session_unset();     session_destroy();     session_start(); } ?&gt;

登录后复制

说明：

session_regenerate_id(true) 生成新的会话id，降低会话固定的风险。
设置 cookie_httponly 和 cookie_secure 有助于通过限制 javascript 和不安全（非 https）访问来防止 cookie 被盗。

5. 安全文件上传

不受限制的文件上传可能会导致恶意文件被上传并执行。始终验证文件类型并安全地存储它们。

示例：

<?php $allowed_extensions = ['jpg', 'jpeg', 'png', 'gif']; $file_name = $_files['file']['name']; $file_extension = pathinfo($file_name, pathinfo_extension);  // check file extension if (!in_array($file_extension, $allowed_extensions)) {     die("invalid file type."); }  // store in a safe location (outside web root) with a unique name $target_dir = "/var/www/uploads/"; $target_file = $target_dir . basename($file_name);  if (move_uploaded_file($_files['file']['tmp_name'], $target_file)) {     echo "file uploaded successfully."; } else {     echo "file upload failed."; } ?>

登录后复制

说明：

通过根据允许的类型数组检查文件扩展名来仅允许特定的文件类型。
将文件存储在 web 根目录之外，并使用 move_uploaded_file 确保无法通过直接 url 访问它。

6. 使用内容安全策略 (csp)

csp 标头可以通过限制资源加载位置来帮助防止 xss 和数据注入攻击。

示例（要添加到 .htaccess 文件或服务器配置中）：

header set content-security-policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://trustedscripts.com"

登录后复制

说明：

此 csp 限制资源仅从同源（自身）加载，并且允许来自 trustscripts.com 的 javascript。
这可以防止加载外部脚本或不受信任的资源，从而降低 xss 风险。

7. 输入验证和清理

使用输入验证和清理来防止各种类型的注入。

示例：

<?php // Validate integer input $age = filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT);  if ($age === false) {     die("Invalid age value."); }  // Sanitize string input $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING); ?>

登录后复制

说明：