Conseils de protection des formulaires PHP : utilisez des scripts backend de protection

Avec le développement continu de la technologie Internet, les formulaires Web sont devenus l'une des fonctions indispensables des sites Web. Qu'il s'agisse de s'inscrire, de se connecter, de commenter ou de s'abonner, ces fonctions nécessitent que les utilisateurs remplissent des formulaires. Cependant, cela signifie également que les formulaires Web sont exposés à diverses menaces de sécurité. En réponse à ces menaces, cet article présentera quelques techniques de protection des formulaires PHP pour vous aider à protéger vos applications Web.

1. Prévenir les attaques de scripts intersites (XSS)

Les attaques de scripts intersites sont une menace courante pour la sécurité Web dans laquelle les attaquants injectent du code malveillant pour obtenir les informations sensibles de l’utilisateur. Pour empêcher les attaques XSS, vous pouvez encoder les données saisies par l'utilisateur via la fonction intégrée PHP htmlspecialchars(). Par exemple :

<?php
$name = $_POST['name'];
echo 'Hello, ' . htmlspecialchars($name);
?>

Dans le code ci-dessus, htmlspecialchars() convertira tous les caractères spéciaux (tels que <, >, & et ") en entités HTML correspondantes, empêchant ainsi les attaques XSS. #🎜 🎜#

Vérifier et limiter les saisies utilisateur

Les saisies utilisateur peuvent être illégales dans diverses situations, comme être trop longues, trop courtes ou contenir des caractères illégaux, etc. Pour éviter ces problèmes, vous pouvez utiliser les fonctions intégrées strlen() et preg_match() pour vérifier et limiter les entrées de l'utilisateur. Par exemple :

<?php
$name = $_POST['name'];
if(strlen($name) > 20) {
    echo '用户名太长';
} else if(preg_match('/[^a-z0-9]/i', $name)) {
    echo '用户名包含非法字符';
} else {
    // 用户名合法，继续执行其他操作
}
?>

Dans le code ci-dessus, strlen() est. utilisé pour vérifier la longueur du nom d'utilisateur, preg_match() est utilisé pour vérifier si le nom d'utilisateur contient des caractères illégaux. Si le nom d'utilisateur est illégal, le message d'erreur correspondant sera renvoyé #

Le code de vérification est un outil couramment utilisé pour. empêcher les attaques malveillantes des robots.Lorsque les utilisateurs remplissent le formulaire, vous pouvez leur demander de saisir un code de vérification pour vérifier si la saisie de l'utilisateur est légale via le code de vérification d'image généré par la bibliothèque PHP GDPar exemple：

.

<?php
session_start();
if($_POST) {
    if(strtolower($_POST['captcha']) == strtolower($_SESSION['captcha'])) {
        // 验证码输入正确，继续执行其他操作
    } else {
        echo '验证码输入错误';
    }
}
$captcha = rand(1000, 9999);
$_SESSION['captcha'] = $captcha;
$img = imagecreate(50, 20);
$bg = imagecolorallocate($img, 255, 255, 255);
$fg = imagecolorallocate($img, 0, 0, 0);
imagestring($img, 5, 10, 3, $captcha, $fg);
header('Content-type: image/png');
imagepng($img);
imagedestroy($img);
?>

Dans le code ci-dessus, session_start() est utilisé pour démarrer la session. Lorsque l'utilisateur soumet le formulaire, si le code de vérification est saisi correctement, continuez à effectuer d'autres opérations, sinon renvoyez le message d'erreur de saisie du code de vérification ; . La variable captcha est utilisée pour stocker le contenu du code de vérification, la variable img est utilisée pour générer l'image du code de vérification et la fonction header() est utilisée pour définir le format de l'image sur PNG. 🎜🎜#Prévenir les attaques par injection SQL

L'attaque par injection SQL est une menace courante pour la sécurité Web. Les attaquants obtiennent ou altèrent les données de la base de données en injectant des instructions SQL malveillantes. vous pouvez utiliser le paramétrage de la commande pour filtrer les données saisies par l'utilisateur. Par exemple :

<?php
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(array('email' => $_POST['email']));
$user = $stmt->fetch();
?>

Dans le code ci-dessus, la variable $stmt est utilisée pour exécuter l'opération de requête SQL et la fonction exécuter(). est utilisé pour définir la valeur du paramètre de commande PDO saisie par l'utilisateur. Vous aide automatiquement à filtrer le code malveillant pour empêcher les attaques par injection SQL

Utilisez l'API antivirus pour détecter les téléchargements de fichiers malveillants
4. .

Le téléchargement de fichiers est un formulaire Web. Cependant, l'une des fonctions couramment utilisées peut également devenir un point d'entrée pour les attaques réseau. Pour garantir la sécurité des fichiers téléchargés, vous pouvez utiliser l'API antivirus pour. détecter si le téléchargement du fichier est sécurisé. Par exemple :

<?php
if($_FILES) {
    $ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);
    $tmp_file = $_FILES['file']['tmp_name'];
    if(class_exists('ClamAV')) {
        $clamav = new ClamAV();
        $result = $clamav->scan($tmp_file);
        if(!$result) {
            echo '文件上传失败：包含恶意代码';
        } else {
            $filename = uniqid('file_') . '.' . $ext;
            move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename);
            echo '文件上传成功';
        }
    } else {
        // 若未找到Antivirus API，则提供默认处理方式
        $filename = uniqid('file_') . '.' . $ext;
        move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename);
        echo '文件上传成功';
    }
}
?>

In Dans le code ci-dessus, la variable $ext est utilisée pour obtenir l'extension du fichier téléchargé et la variable $tmp_file est utilisée pour obtenir. le chemin temporaire du fichier téléchargé. S'il est détecté que le fichier téléchargé contient du code malveillant, le message d'erreur correspondant sera renvoyé ; sinon, le fichier sera téléchargé dans le répertoire spécifié.

Résumé : Voici quelques conseils de protection des formulaires PHP qui peuvent vous aider à protéger la sécurité des applications Web. Cependant, ces conseils ne constituent qu'une des mesures préventives parmi d'autres. Pour protéger complètement la sécurité des applications Web, des mesures de sécurité supplémentaires doivent être ajoutées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!