Prinzipien der sicheren PHP-Codierung: So filtern und maskieren Sie Benutzereingaben mit der Funktion filter_var

PHP Secure Coding Principles: So filtern und maskieren Sie Benutzereingaben mit der Funktion filter_var

Zitat:
Sicherheit ist ein entscheidender Faktor bei der Entwicklung von Webanwendungen. Das Filtern und Ausblenden von Benutzereingaben ist ein entscheidender Schritt zur Verhinderung von SQL-Injection, Cross-Site-Scripting-Angriffen und anderen Sicherheitslücken. In PHP kann das Filtern und Escapen von Benutzereingaben einfach mit der Funktion filter_var erreicht werden. In diesem Artikel wird erklärt, wie Sie die Funktion filter_var richtig verwenden, um Ihre PHP-Anwendungen zu schützen.

1. Was ist die filter_var-Funktion?
   Die Funktion filter_var ist eine leistungsstarke Filterfunktion in PHP, die zum Filtern und Überprüfen verschiedener Datentypen verwendet wird. Durch die Verwendung verschiedener Filter können wir vom Benutzer eingegebene Daten filtern und validieren und so deren Sicherheit gewährleisten.
2. Benutzereingaben filtern
   Das Filtern von Benutzereingaben ist ein wichtiger Schritt zur Sicherung Ihrer Webanwendung. Wenn Benutzereingaben eingehen, sollten wir sie aus möglichen Schadcodes oder Zeichen herausfiltern. Hier sind einige häufig verwendete Filter und Beispielcode:

a) FILTER_SANITIZE_STRING: Filtert HTML- und PHP-Tags in Strings.

$input = "<script> alert('XSS attack!') </script>"
$clean_input = filter_var($input, FILTER_SANITIZE_STRING);
echo $clean_input; // 输出：alert('XSS attack!')

b) FILTER_SANITIZE_EMAIL: Alle Zeichen außer Buchstaben, Zahlen und @ aus der Zeichenfolge entfernen.

$email = "john.doe@example.com";
$clean_email = filter_var($email, FILTER_SANITIZE_EMAIL);
echo $clean_email; // 输出：john.doe@example.com

c) FILTER_SANITIZE_URL: Alle Zeichen in der Zeichenfolge außer Buchstaben, Zahlen und :/.?=& entfernen.

$url = "http://example.com/?q=test";
$clean_url = filter_var($url, FILTER_SANITIZE_URL);
echo $clean_url; // 输出：http://example.com/?q=test

3. Benutzereingaben entkommen
   Zusätzlich zum Filtern von Benutzereingaben sollten wir auch Benutzereingaben entgehen, um Cross-Site-Scripting-Angriffe zu verhindern. Hier sind einige häufig verwendete Escape-Funktionen und Beispielcodes:

a) htmlspecialchars-Funktion: Konvertieren Sie Sonderzeichen in HTML-Entitäten.

$input = "<script> alert('XSS attack!') </script>";
$escaped_input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
echo $escaped_input; // 输出：<script> alert('XSS attack!') </script>

b) addslashes-Funktion: Fügt Backslashes vor bestimmten Zeichen in einer Zeichenfolge hinzu.

$input = "It's a beautiful day!";
$escaped_input = addslashes($input);
echo $escaped_input; // 输出：It's a beautiful day!

4. Umfassende Anwendung des Filterns und Escapens von Benutzereingaben
   In der realen Entwicklung müssen wir normalerweise Methoden zum Filtern und Escapen von Benutzereingaben umfassend anwenden. Hier ist ein Beispielcode für eine umfassende Anwendung:

$username = $_POST['username'];
$password = $_POST['password'];

$clean_username = filter_var($username, FILTER_SANITIZE_STRING);
$clean_password = addslashes($password);

// 在数据库查询前使用转义后的数据
$query = "SELECT * FROM users WHERE username='$clean_username' AND password='$clean_password'";

Zusammenfassung:
Durch die Verwendung der Funktion filter_var können wir Benutzereingaben einfach und effektiv filtern und maskieren und so die Sicherheit von Webanwendungen verbessern. Bei der Verarbeitung von Benutzereingaben sollten wir immer Filter- und Escape-Methoden verwenden, um SQL-Injection, XSS und andere häufige Sicherheitslücken zu verhindern.

Bitte beachten Sie, dass das Filtern und Escapen von Benutzereingaben in der tatsächlichen Entwicklung nur die erste Verteidigungslinie zum Schutz Ihrer Anwendung ist. Wir sollten auch andere Sicherheitsmaßnahmen wie Eingabevalidierung, Verwendung vorbereiteter Anweisungen usw. verwenden. Nur durch die Kombination mehrerer Sicherheitsmaßnahmen können wir sicherstellen, dass unsere Anwendungen so sicher wie möglich sind.

Erweiterte Lektüre:

• [PHP: filter_var-Funktion](https://www.php.net/manual/zh/function.filter-var.php)
• [PHP: htmlspecialchars-Funktion](https:// www.php.net/manual/zh/function.htmlspecialchars.php)
• [PHP: Addslashes-Funktion](https://www.php.net/manual/zh/function.addslashes.php)

Das obige ist der detaillierte Inhalt vonPrinzipien der sicheren PHP-Codierung: So filtern und maskieren Sie Benutzereingaben mit der Funktion filter_var. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!