Comprendre les principes sous-jacents du développement de PHP : Analyse des techniques de sécurité des réseaux et de chiffrement des transmissions de données

Comprendre les principes sous-jacents du développement de PHP : analyse de la sécurité des réseaux et techniques de cryptage des transmissions de données

Avec le développement rapide d'Internet, les problèmes de sécurité des réseaux deviennent de plus en plus graves. Pour les développeurs PHP, il est très important de comprendre les techniques de sécurité des réseaux et de cryptage des transmissions de données. Cet article présentera les connaissances liées à la sécurité des réseaux et au cryptage de la transmission de données dans les principes de développement sous-jacents de PHP, et fournira quelques exemples de code pour référence aux lecteurs.

En termes de sécurité réseau, les menaces courantes incluent le détournement de réseau, les attaques par script intersite (XSS), la falsification de requêtes intersite (CSRF), etc. Nous décrivons ci-dessous comment faire face à ces menaces tour à tour.

1. Prévenir le piratage de réseau

Le piratage de réseau fait référence aux pirates informatiques qui interceptent ou altèrent le trafic réseau pour obtenir des informations sensibles des utilisateurs ou effectuer d'autres actes malveillants. Afin d'éviter le détournement de réseau, nous pouvons utiliser le protocole HTTPS pour une transmission sécurisée des données. PHP prend en charge l'utilisation de HTTPS via l'extension OpenSSL.

Voici un exemple de code qui montre comment utiliser HTTPS pour un transfert de données sécurisé :

<?php
  // 开启HTTPS协议
  $options = [
      'ssl' => [
          'verify_peer' => false, // 取消SSL证书验证，方便测试
          'verify_peer_name' => false,
      ],
  ];
  $context = stream_context_create($options);

  // 发送HTTPS请求
  $url = "https://www.example.com/api";
  $response = file_get_contents($url, false, $context);

  // 处理响应
  if ($response === false) {
      echo "请求失败";
  } else {
      echo "响应内容：" . $response;
  }
?>

2. Prévenir les attaques de script intersite (XSS)

Une attaque de script intersite se produit lorsqu'un pirate informatique vole des utilisateurs en injectant des scripts malveillants dans des pages Web contenant des informations sensibles. Pour prévenir les attaques XSS, nous pouvons filtrer les entrées des utilisateurs pour garantir qu'elles ne contiennent pas de scripts malveillants.

Voici un exemple de code qui montre comment filtrer les entrées de l'utilisateur :

<?php
  function filter_input($input) {
      // 使用htmlspecialchars函数过滤用户输入
      return htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
  }

  // 获取用户输入的信息
  $username = filter_input($_POST['username']);
  $password = filter_input($_POST['password']);

  // 进行其他处理
  // ...
?>

3. Prévention de la falsification de requêtes intersites (CSRF)

La falsification de requêtes intersites signifie que les pirates utilisent le statut de connexion de l'utilisateur pour effectuer certaines actions en forgeant des demandes Opération dangereuse. Pour prévenir les attaques CSRF, nous pouvons utiliser des jetons CSRF pour vérifier la légitimité des demandes.

Ce qui suit est un exemple de code qui montre comment utiliser les jetons CSRF pour vérifier la légitimité des demandes :

<?php
  // 生成CSRF令牌
  session_start();
  if (!isset($_SESSION['csrf_token'])) {
      $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
  }

  // 验证CSRF令牌
  function is_valid_csrf_token($token) {
      return isset($_SESSION['csrf_token']) && $token === $_SESSION['csrf_token'];
  }

  // 验证请求的合法性
  function validate_request() {
      $token = $_POST['csrf_token'];
      if (!is_valid_csrf_token($token)) {
          die("请求不合法");
      }
  }

  // 在表单中插入CSRF令牌
  function csrf_token_field() {
      return '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
  }

  // 使用CSRF令牌验证请求
  validate_request();

  // 处理其他操作
  // ...
?>

En plus de la sécurité du réseau, le cryptage de la transmission des données est également un moyen important pour garantir la sécurité des données. Deux technologies de cryptage de transmission de données couramment utilisées sont présentées ci-dessous.

1. Cryptage symétrique

Le cryptage symétrique signifie utiliser la même clé pour le cryptage et le déchiffrement. PHP fournit la fonction openssl_encrypt et la fonction openssl_decrypt pour implémenter le cryptage symétrique.

Voici un exemple de code qui montre comment utiliser le cryptage symétrique pour la transmission de données :

<?php
  // 加密数据
  function encrypt($data, $key) {
      return openssl_encrypt($data, 'AES-128-CBC', $key, OPENSSL_RAW_DATA, $key);
  }

  // 解密数据
  function decrypt($data, $key) {
      return openssl_decrypt($data, 'AES-128-CBC', $key, OPENSSL_RAW_DATA, $key);
  }

  // 数据加密
  $data = "Hello, World!";
  $key = "mysecretkey";
  $encrypted = encrypt($data, $key);

  // 数据解密
  $decrypted = decrypt($encrypted, $key);

  echo "加密后的数据：" . $encrypted . "<br>";
  echo "解密后的数据：" . $decrypted;
?>

2. Cryptage asymétrique

Le cryptage asymétrique signifie utiliser la clé publique pour le cryptage et la clé privée pour le déchiffrement. PHP fournit la fonction openssl_pkey_new et la fonction openssl_pkey_get_private pour générer et obtenir des clés asymétriques.

Ce qui suit est un exemple de code qui montre comment utiliser le cryptage asymétrique pour la transmission de données :

<?php
  // 生成密钥
  $config = [
      "private_key_bits" => 2048,
      "private_key_type" => OPENSSL_KEYTYPE_RSA,
  ];
  $private_key = openssl_pkey_new($config);

  // 获取公钥
  $details = openssl_pkey_get_details($private_key);
  $public_key = $details["key"];

  // 使用公钥加密数据
  $data = "Hello, World!";
  $encrypted = "";
  openssl_public_encrypt($data, $encrypted, $public_key);

  // 使用私钥解密数据
  $decrypted = "";
  openssl_private_decrypt($encrypted, $decrypted, $private_key);

  echo "加密后的数据：" . base64_encode($encrypted) . "<br>";
  echo "解密后的数据：" . $decrypted;
?>

Cet article fournit quelques exemples de code pour référence aux lecteurs en introduisant les connaissances liées à la sécurité des réseaux et au cryptage de la transmission de données dans les principes de développement sous-jacents de PHP. Nous espérons que les lecteurs pourront améliorer les capacités de prévention de la sécurité réseau du développement PHP et protéger la sécurité des données des utilisateurs en acquérant ces connaissances.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!