Maison > développement back-end > tutoriel php > Problèmes de sécurité PHP courants et solutions

Problèmes de sécurité PHP courants et solutions

王林
Libérer: 2023-04-07 19:06:01
original
1983 Les gens l'ont consulté

Problèmes de sécurité PHP courants et solutions

1. Injection SQL

L'injection SQL est l'une des plus grandes menaces pour votre site Web si votre base de données est injectée par le SQL In de quelqu'un d'autre. En cas d'attaque, d'autres personnes peuvent transférer votre base de données, ce qui peut avoir des conséquences plus graves.

Solution :

Il existe deux solutions principales. Échapper aux données saisies par l'utilisateur ou utiliser des instructions encapsulées. La méthode d'échappement consiste à encapsuler une fonction pour filtrer les données soumises par l'utilisateur et supprimer les balises nuisibles. Cependant, je ne recommande pas cette méthode car il est facile d’oublier de la faire partout.

Ensuite, je vais vous présenter comment utiliser PDO pour exécuter des instructions encapsulées (la même chose est vraie pour mysqi) :

$username = $_GET['username'];
 
$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');
 
$query->execute(['username' => $username]);
 
$data = $query->fetch();
Copier après la connexion

XSS

. XSS est également appelé CSS (Cross Site Script), attaque de script intersite. Il s'agit d'un attaquant malveillant qui insère du code HTML malveillant dans une page Web. Lorsqu'un utilisateur parcourt la page, le code HTML intégré dans le Web sera exécuté, atteignant ainsi l'objectif particulier d'attaquer l'utilisateur de manière malveillante.

Solution :

Ne faites absolument confiance à aucune entrée de l'utilisateur et filtrez tous les caractères spéciaux dans l'entrée. Cela éliminera la plupart des attaques XSS :

<?php
 
$searchQuery = htmlentities($searchQuery, ENT_QUOTES);
Copier après la connexion

Ou vous pouvez utiliser le moteur de modèles Twig. Les moteurs de modèles généraux ajouteront la prévention des entités html à la sortie par défaut.

3. Exécutez quelques opérations.

Solution :

La méthode de défense la plus courante consiste à générer une chaîne sécurisée cryptée par jeton CSRF, généralement appelée jeton, et à stocker le jeton dans un cookie ou une session.

Chaque fois que vous créez un formulaire sur une page Web, placez le jeton dans le champ caché du formulaire. Le serveur de demande de formulaire le comparera ensuite en fonction du cookie de l'utilisateur ou du jeton dans la session, et du la vérification sera réussie. Donnez un laissez-passer.

Étant donné que l'attaquant ne peut pas connaître le contenu du jeton (le jeton est aléatoire pour chaque formulaire), il n'y a aucun moyen de se faire passer pour l'utilisateur.

Tutoriel recommandé :

Tutoriel vidéo PHP

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal