Filtrage des données PHP : prévenir les attaques XSS et CSRF

Filtrage de données PHP : évitez les attaques XSS et CSRF

Avec le développement d'Internet, la sécurité des réseaux est devenue l'un des centres d'attention des gens. Lors du développement de sites Web, il est très important de filtrer et de vérifier les données soumises par les utilisateurs, en particulier pour prévenir les attaques XSS (cross-site scripting attaques) et CSRF (cross-site request forgery attaques). Cet article explique comment utiliser PHP pour éviter ces deux vulnérabilités de sécurité courantes et fournit un exemple de code pour référence.

1. Prévenir les attaques XSS

Les attaques XSS font référence à des attaquants malveillants qui altèrent le contenu Web en injectant des scripts ou des codes malveillants pour voler des informations sensibles aux utilisateurs ou propager des logiciels malveillants. Afin de prévenir les attaques XSS, nous devons filtrer et échapper aux données saisies par l'utilisateur.

(1) Utilisez la fonction htmlspecialchars() pour échapper aux caractères spéciaux HTML.

$name = $_POST['name'];
$filtered_name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8');

(2) Utilisez des expressions régulières pour filtrer les entrées de l'utilisateur.

$name = $_POST['name'];
$pattern = '/^[a-zA-Z0-9]+$/';
if (preg_match($pattern, $name)) {
    // 用户输入合法
} else {
    // 用户输入不合法
}

2. Prévenir les attaques CSRF

Les attaques CSRF font référence à des attaquants effectuant des opérations non autorisées en falsifiant les demandes des utilisateurs, telles que la modification des informations utilisateur, le lancement de transferts malveillants, etc. Pour prévenir les attaques CSRF, nous pouvons prendre les mesures suivantes.

(1) Utilisez la vérification du jeton CSRF.

session_start();
$csrf_token = bin2hex(random_bytes(32)); // 生成随机的令牌
$_SESSION['csrf_token'] = $csrf_token;

// 在表单中添加令牌
echo "<input type='hidden' name='csrf_token' value='{$csrf_token}'>";

// 验证令牌
if ($_POST['csrf_token'] === $_SESSION['csrf_token']) {
    // 令牌验证通过
} else {
    // 令牌验证失败
}

(2) Limiter les sources de requêtes.

if ($_SERVER['HTTP_REFERER'] !== 'http://www.example.com') {
    // 请求来源不合法
} else {
    // 请求来源合法
}

Pour résumer, le filtrage et la vérification des données soumises par les utilisateurs sont une étape importante pour garantir la sécurité du site Web. En échappant aux caractères spéciaux HTML, en utilisant des expressions régulières pour filtrer les entrées de l'utilisateur, en utilisant la vérification des jetons CSRF et en limitant les sources de requêtes, nous pouvons prévenir efficacement les attaques XSS et CSRF. Cependant, la sécurité est un processus continu et nous devons constamment mettre à jour et renforcer les mesures de sécurité pour améliorer la sécurité du site Web.

Matériaux de référence :

• Documentation officielle PHP (https://www.php.net/)
• Site officiel de l'OWASP (https://owasp.org/)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!