Tutoriels pratiques sur le filtrage et la vérification ainsi que l'échappement et les mots de passe en php

黄舟
Libérer: 2023-03-14 12:26:02
original
1376 Les gens l'ont consulté

Lorsque nous développons des applications, nous avons généralement une convention : ne faites confiance à aucune donnée provenant de sources de données qui ne sont pas sous votre contrôle. Donc pour le moment, le contenu présenté dans cet article est utilisé. Cet article vous présente principalement les informations pertinentes sur le filtrage, la vérification, l'échappement et les mots de passe dans les tutoriels pratiques PHP. Les amis dans le besoin peuvent s'y référer.

Cet article vous présente principalement le contenu lié au filtrage, à la vérification, à l'échappement et aux mots de passe dans la pratique PHP. Il est partagé pour votre référence et votre étude. Je ne dirai pas grand-chose ci-dessous, jetons un coup d'œil à cela. détails. Introduction :

1. Filtrage, vérification et échappement

1). données de contrôle. Y compris, mais sans s'y limiter :

  • $_GET

  • $_POST

  • $_REQUEST

  • $_COOKIE

  • $argv

  • php://stdin

  • php://input

  • file_get_contents()

  • Base de données distante

  • API distante

  • Données du client

2). Pour supprimer les caractères dangereux, les données doivent être filtrées avant d'atteindre la couche de stockage de l'application. Les données qui doivent être filtrées incluent, sans s'y limiter : les requêtes HTML, SQL et les informations de profil utilisateur.

  • HTML : utilisez la fonction htmlentities() pour filtrer le HTML dans les entités correspondantes. Cette fonction échappe aux caractères HTML spécifiés pour un rendu sécurisé au niveau de la couche de stockage. La bonne façon de l'utiliser est d'utiliser htmlentities($input, ENT_QUOTES, 'UTF-8') pour filtrer les entrées. Ou utilisez HTML Purifier. L'inconvénient est lent

  • Requête SQL : parfois, une requête SQL doit être construite en fonction des données. À ce stade, vous devez utiliser les instructions de prétraitement PDO pour filtrer les données externes.

  • Informations du profil utilisateur : utilisez filter_var() et filter_input() pour filtrer les informations du profil utilisateur

3). utilisez filter_var() , si la vérification réussit, la valeur à vérifier sera renvoyée, et si elle échoue, elle renverra false. Mais cette fonction ne peut pas vérifier toutes les données, certains composants de la fonction de vérification peuvent donc être utilisés. Par exemple, aura/filter ou symfony/validator

4) Sortie d'échappement : vous pouvez toujours utiliser la fonction htmlentities, et certains moteurs de modèles ont également leurs propres fonctions d'échappement.

Mot de passe

1). Ne connaissez jamais le mot de passe de l'utilisateur.

2). Ne limitez jamais le mot de passe de l'utilisateur. Si vous souhaitez le restreindre, limitez-le uniquement à la longueur minimale.

3). N'utilisez jamais le courrier électronique pour envoyer les mots de passe des utilisateurs. Vous pouvez envoyer un lien pour changer le mot de passe avec un jeton pour vérifier qu'il s'agit bien de l'utilisateur.

4). Utilisez bcrypt pour calculer la valeur de hachage du mot de passe de l'utilisateur. Le cryptage et le hachage ne sont pas la même chose. Le cryptage est un algorithme bidirectionnel et les données cryptées peuvent être déchiffrées. Cependant, le hachage est un algorithme unique et les données après hachage ne peuvent pas être restaurées. Les données obtenues après hachage des mêmes données sont toujours les mêmes. Utilisez une base de données pour stocker la valeur après avoir haché le mot de passe avec bcrypt.

5). Utilisez l'API Password Hash pour simplifier l'opération de calcul des hachages de mots de passe et de vérification des mots de passe. Les opérations générales suivantes pour les utilisateurs enregistrés


POST /register.php HTTP/1.1
Content-Length: 43
Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao
Copier après la connexion

Ce qui suit est le fichier PHP qui accepte cette demande


<?php
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;, FILTER_VALIDATE_EMAIL);
 if (!$email) {
  throw new Exception(&#39;Invalid email&#39;);
 }
 $password = filter_iput(INPUT_POST, &#39;password&#39;);
 if (!$password || mb_strlen($password) < 8) {
  throw new Exception(&#39;Password must contain 8+ characters&#39;);
 }
 //创建密码的哈希值
 $passwordHash = password_hash(
  $password,
  PASSWORD_DEFAULT,
  [&#39;cost&#39; => 12]
  );

 if ($passwordHash === false) {
  throw new Exception(&#39;Password hash failed&#39;);
 }

 //创建用户账户,这里是虚构的代码
 $user = new User();
 $user->email = $email;
 $user->password_hash = $passwordHash;
 $user->save();
 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /login.php&#39;);
} catch (Exception $e) {
 header(&#39;HTTP1.1 400 Bad Request&#39;);
 echo $e->getMessage();
}
Copier après la connexion

6). Modifiez la troisième valeur de password_hash() en fonction de la puissance de calcul spécifique de la machine. Le calcul de la valeur de hachage prend généralement 0,1 s à 0,5 s.

7). La valeur de hachage du mot de passe est stockée dans une colonne de base de données de type varchar(255).

8) Processus général de connexion des utilisateurs


POST /login.php HTTP1.1
Content-length: 43
Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao
Copier après la connexion


session_start();
try {
 $email = filter_input(INPUT_POST, &#39;email&#39;);
 $password = filter_iinput(INPUT_POST, &#39;password&#39;);

 $user = User::findByEmail($email);

 if (password_verify($password, $user->password_hash) === false) {
  throw new Exception(&#39;&#39;Invalid password);
 }

 //如果需要的话,重新计算密码的哈希值
 $currentHasAlgorithm = PASSWORD_DEFAULT;
 $currentHashOptions = array(&#39;cost&#39; => 15);
 $passwordNeedsRehash = password_needs_rehash(
  $user->password_hash,
  $currentHasAlgorithm,
  $currentHasOptions
 );
 if ($passwordNeedsRehash === true) {
  $user->password_hash = password_hash(
   $password,
   $currentHasAlgorithm,
   $currentHasOptions
  );

  $user->save();
 }

 $_SESSION[&#39;user_logged_in&#39;] = &#39;yes&#39;;
 $_SESSION[&#39;user_email&#39;] = $email;

 header(&#39;HTTP/1.1 302 Redirect&#39;);
 header(&#39;Location: /user-profile.php&#39;);
} catch (Exception) {
 header(&#39;HTTP/1.1 401 Unauthorized&#39;);
 echo $e->getMessage();
}
Copier après la connexion

9) . L'API de hachage de mot de passe avant PHP5.5.0 ne peut pas être utilisée. Il est recommandé d'utiliser le composant ircmaxell/password-compat.

Résumé

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal