Best Practices zur Verhinderung von Registrierungsangriffen in PHP

Best Practices für PHP-Anti-Flash-Registrierungsangriffe

Mit der Entwicklung des Internets werden Registrierungsfunktionen in verschiedenen Websites und Anwendungen immer häufiger. Gleichzeitig ist die Registrierungsfunktion aber auch zu einem häufig von Angreifern ausgenutzten Einfallstor geworden. Unter diesen ist die häufigste Angriffsmethode der Registrierungs- und Konto-Swiping-Angriff, d. h. der Angreifer stellt über automatisierte Programme eine große Anzahl von Registrierungsanfragen, wodurch Serverressourcen belegt und normale Dienste gestört werden. Um diesen Angriff zu bekämpfen, können wir einige Best Practices anwenden, um unsere Registrierungsfunktionalität zu sichern.

1. Anti-Mensch-Interaktionsüberprüfung hinzufügen

Übliche Registration-Brushing-Angriffe zeichnen sich dadurch aus, dass automatisierte Programme zur Durchführung von Registrierungsanfragen verwendet werden. Diese Programme schließen normalerweise alle Registrierungsvorgänge schnell ab, während echte Benutzer eine gewisse Zeit und Interaktion benötigen. Eine automatisierte Registrierung kann wirksam verhindert werden, indem die Überprüfung von Anti-Mensch-Interaktionen hinzugefügt wird. Das Eingeben von Verifizierungscodes, das Ziehen von Schiebereglern, das Verifizieren von Telefonnummern usw. sind alles gängige Methoden zur Verifizierung menschenfeindlicher Interaktionen.

Zum Beispiel kann Google reCAPTCHA verwendet werden, um eine Captcha-Verifizierung hinzuzufügen. Registrieren Sie zunächst ein Konto auf der offiziellen Google reCAPTCHA-Website (https://www.google.com/recaptcha/intro/v3.html) und erhalten Sie den entsprechenden API-Schlüssel. Betten Sie dann den reCAPTCHA-Bestätigungscode wie unten gezeigt in die Registrierungsseite ein:

<script src="https://www.google.com/recaptcha/api.js?render=你的Site Key"></script>
<form method="post" action="register.php">
  <!-- 用户名、密码等注册字段 -->
  <div class="g-recaptcha" data-sitekey="你的Site Key"></div>
  <button type="submit">注册</button>
</form>
<script>
grecaptcha.ready(function() {
  grecaptcha.execute('你的Site Key', {action: 'register'}).then(function(token) {
    // 将token与其他注册数据一起提交到服务器
  });
});
</script>

Überprüfen Sie die reCAPTCHA-Antwort auf der Serverseite. Der Beispielcode lautet wie folgt:

<?php
$secretKey = "你的Secret Key";
$response = $_POST['g-recaptcha-response'];
$remoteIp = $_SERVER['REMOTE_ADDR'];

$url = "https://www.google.com/recaptcha/api/siteverify?secret=".$secretKey."&response=".$response."&remoteip=".$remoteIp;
$response_json = file_get_contents($url);
$response_data = json_decode($response_json, true);

if($response_data['success'] == true) {
  // 验证通过，进行注册操作
  // ...
} else {
  // 验证失败，显示错误信息
  // ...
}
?>

2. Begrenzen Sie die Registrierungsgeschwindigkeit

Ein weiteres Merkmal von Bei einem Registration-Brushing-Angriff wird in kurzer Zeit eine große Anzahl von Registrierungsanfragen gesendet. Durch die Begrenzung der Registrierungsgeschwindigkeit können wir die Auswirkungen des Angriffs effektiv verlangsamen.

Sie können beispielsweise die Anzahl der Registrierungen für jede IP-Adresse im letzten Zeitraum erfassen und begrenzen. Hier ist ein Beispielcode:

<?php
$ip = $_SERVER['REMOTE_ADDR'];
$time_range = 60; // 限制时间范围（秒）
$max_register = 5; // 最大注册次数

// 从数据库或其他存储方式中获取IP地址相关的注册次数和时间戳
// ...

if($register_count >= $max_register) {
  $remaining_time = $time_range - (time() - $last_register_time);
  die("注册次数过多，请等待".$remaining_time."秒后再尝试。");
}

// 新增注册记录到数据库或其他存储方式
// ...
?>

3. Strenge Passwortanforderungen

Einer der Zwecke von Registration-Brushing-Angriffen besteht darin, eine große Anzahl von Benutzerkonten für andere böswillige Verhaltensweisen zu erhalten. Um die Verwendung einfacher Passwörter zu verhindern, können wir von Benutzern verlangen, sichere Passwörter festzulegen.

Zum Beispiel können wir verlangen, dass das Passwort mindestens 8 Zeichen lang ist und Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen usw. enthält. Das Folgende ist ein Beispielcode:

<?php
$password = $_POST['password'];

if(strlen($password) < 8 || !preg_match('/^(?=.*[a-z])(?=.*[A-Z])(?=.*d)(?=.*[@#$%!^&*()-_=+{}~|/<>?]).*$/', $password)) {
  die("密码太弱，请选择更强的密码。");
}

// 注册用户并保存密码到数据库或其他存储方式
// ...
?>

Die oben genannten sind einige Best Practices zur Verhinderung von PHP-Registrierungsangriffen. Wir können je nach spezifischen Anforderungen und Situationen verschiedene Implementierungsmethoden verwenden. Durch das Hinzufügen von Maßnahmen wie der Überprüfung menschlicher Interaktionen, der Begrenzung der Registrierungsgeschwindigkeit und der Forderung nach starken Passwörtern können wir die Sicherheit der Registrierungsfunktion effektiv verbessern und die unzulässige Auswirkung von Registrierungs-Swiping-Angriffen auf den Server verhindern.

Das obige ist der detaillierte Inhalt vonBest Practices zur Verhinderung von Registrierungsangriffen in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!