Tutoriels pratiques sur le filtrage et la vérification ainsi que l'échappement et les mots de passe en php

Lorsque nous développons des applications, nous avons généralement une convention : ne faites confiance à aucune donnée provenant de sources de données qui ne sont pas sous votre contrôle. Donc pour le moment, le contenu présenté dans cet article est utilisé. Cet article vous présente principalement les informations pertinentes sur le filtrage, la vérification, l'échappement et les mots de passe dans les tutoriels pratiques PHP. Les amis dans le besoin peuvent s'y référer.

Cet article vous présente principalement le contenu lié au filtrage, à la vérification, à l'échappement et aux mots de passe dans la pratique PHP. Il est partagé pour votre référence et votre étude. Je ne dirai pas grand-chose ci-dessous, jetons un coup d'œil à cela. détails. Introduction :

1. Filtrage, vérification et échappement

1). données de contrôle. Y compris, mais sans s'y limiter :

• $_GET

• $_POST

• $_REQUEST

• $_COOKIE

• $argv

• php://stdin

• php://input

• file_get_contents()

• Base de données distante

• API distante

• Données du client

2). Pour supprimer les caractères dangereux, les données doivent être filtrées avant d'atteindre la couche de stockage de l'application. Les données qui doivent être filtrées incluent, sans s'y limiter : les requêtes HTML, SQL et les informations de profil utilisateur.

• HTML : utilisez la fonction htmlentities() pour filtrer le HTML dans les entités correspondantes. Cette fonction échappe aux caractères HTML spécifiés pour un rendu sécurisé au niveau de la couche de stockage. La bonne façon de l'utiliser est d'utiliser htmlentities($input, ENT_QUOTES, 'UTF-8') pour filtrer les entrées. Ou utilisez HTML Purifier. L'inconvénient est lent

• Requête SQL : parfois, une requête SQL doit être construite en fonction des données. À ce stade, vous devez utiliser les instructions de prétraitement PDO pour filtrer les données externes.

• Informations du profil utilisateur : utilisez filter_var() et filter_input() pour filtrer les informations du profil utilisateur

3). utilisez filter_var() , si la vérification réussit, la valeur à vérifier sera renvoyée, et si elle échoue, elle renverra false. Mais cette fonction ne peut pas vérifier toutes les données, certains composants de la fonction de vérification peuvent donc être utilisés. Par exemple, aura/filter ou symfony/validator

4) Sortie d'échappement : vous pouvez toujours utiliser la fonction htmlentities, et certains moteurs de modèles ont également leurs propres fonctions d'échappement.

Mot de passe

1). Ne connaissez jamais le mot de passe de l'utilisateur.

2). Ne limitez jamais le mot de passe de l'utilisateur. Si vous souhaitez le restreindre, limitez-le uniquement à la longueur minimale.

3). N'utilisez jamais le courrier électronique pour envoyer les mots de passe des utilisateurs. Vous pouvez envoyer un lien pour changer le mot de passe avec un jeton pour vérifier qu'il s'agit bien de l'utilisateur.

4). Utilisez bcrypt pour calculer la valeur de hachage du mot de passe de l'utilisateur. Le cryptage et le hachage ne sont pas la même chose. Le cryptage est un algorithme bidirectionnel et les données cryptées peuvent être déchiffrées. Cependant, le hachage est un algorithme unique et les données après hachage ne peuvent pas être restaurées. Les données obtenues après hachage des mêmes données sont toujours les mêmes. Utilisez une base de données pour stocker la valeur après avoir haché le mot de passe avec bcrypt.

5). Utilisez l'API Password Hash pour simplifier l'opération de calcul des hachages de mots de passe et de vérification des mots de passe. Les opérations générales suivantes pour les utilisateurs enregistrés

POST /register.php HTTP/1.1
Content-Length： 43
Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao

Ce qui suit est le fichier PHP qui accepte cette demande

<?php
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;, FILTER_VALIDATE_EMAIL);
 if (!$email) {
  throw new Exception(&#39;Invalid email&#39;);
 }
 $password = filter_iput(INPUT_POST, &#39;password&#39;);
 if (!$password || mb_strlen($password) < 8) {
  throw new Exception(&#39;Password must contain 8+ characters&#39;);
 }
 //创建密码的哈希值
 $passwordHash = password_hash(
  $password,
  PASSWORD_DEFAULT,
  [&#39;cost&#39; => 12]
  );

 if ($passwordHash === false) {
  throw new Exception(&#39;Password hash failed&#39;);
 }

 //创建用户账户，这里是虚构的代码
 $user = new User();
 $user->email = $email;
 $user->password_hash = $passwordHash;
 $user->save();
 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /login.php&#39;);
} catch (Exception $e) {
 header(&#39;HTTP1.1 400 Bad Request&#39;);
 echo $e->getMessage();
}

6). Modifiez la troisième valeur de password_hash() en fonction de la puissance de calcul spécifique de la machine. Le calcul de la valeur de hachage prend généralement 0,1 s à 0,5 s.

7). La valeur de hachage du mot de passe est stockée dans une colonne de base de données de type varchar(255).

8) Processus général de connexion des utilisateurs

POST /login.php HTTP1.1
Content-length: 43
Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao

session_start();
try {
 $email = filter_input(INPUT_POST, 'email');
 $password = filter_iinput(INPUT_POST, 'password');

 $user = User::findByEmail($email);

 if (password_verify($password, $user->password_hash) === false) {
  throw new Exception(''Invalid password);
 }

 //如果需要的话，重新计算密码的哈希值
 $currentHasAlgorithm = PASSWORD_DEFAULT;
 $currentHashOptions = array('cost' => 15);
 $passwordNeedsRehash = password_needs_rehash(
  $user->password_hash,
  $currentHasAlgorithm,
  $currentHasOptions
 );
 if ($passwordNeedsRehash === true) {
  $user->password_hash = password_hash(
   $password,
   $currentHasAlgorithm,
   $currentHasOptions
  );

  $user->save();
 }

 $_SESSION['user_logged_in'] = 'yes';
 $_SESSION['user_email'] = $email;

 header('HTTP/1.1 302 Redirect');
 header('Location: /user-profile.php');
} catch (Exception) {
 header('HTTP/1.1 401 Unauthorized');
 echo $e->getMessage();
}

9) . L'API de hachage de mot de passe avant PHP5.5.0 ne peut pas être utilisée. Il est recommandé d'utiliser le composant ircmaxell/password-compat.

Résumé

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!