PHPコーディングのセキュリティ
ここ数日、非常に安全なプロジェクトを開始する必要があるため、セキュリティのコーディングにほとんどのエネルギーを注ぎました。また、PHP コーディングにおけるいくつかのセキュリティの脆弱性についても学びました。 XSS攻撃やSQLインジェクションなど。私はまだ経験が浅いため、攻撃コードを作成することはできません。この記事では、攻撃を防止し、リスクを軽減するために、最近学んだ PHP セキュリティ コーディングについての知識をいくつか記録するだけです。
1. XSS 攻撃について
まず、PHP コードの一部を見てみましょう:
<p class="sycode"> < form action = " <?php echo $_SERVER ['PHP_SELF']; ?> " > < input type = " submit " name = " submit " value = " submit " /> </ form > </p>
目的は、現在のページに送信することです。 http://localhost/xss/index.php と入力すると、ページは正常に送信されました。これが私たちが望む結果です。
しかし、http://localhost/xss/index.php?a=1 の場合、ブラウザは正常に送信しました。これは私たちが望んでいることではありません。 http://localhost/xss/index.php/%3E%22%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E
何が起こるか見てみましょう。はい、ブラウザーに XSS プロンプト ボックスが表示されます。これは、Web サイトが XSS による攻撃を受ける危険があることを示します。
それでは、どうすればこの問題を解決できるでしょうか? 以下のコードを参照してください:
<p class="sycode"> < form action = " <?php echo htmlspecialchars( $_SERVER ['PHP_SELF']); ?> " > < input type = " submit " name = " submit " value = " submit " /> </ form > </p>
ここで、攻撃を避けるために、上記の悪意のあるコードをもう一度送信してください。
htmlspecialchars 関数は、いくつかの事前定義された文字を HTML エンティティに変換します。
2. SQL インジェクションについて
まず例を見てみましょう (この例は説明のみを目的としており、実際の効果はありません):
<p class="sycode"> $name = $_GET [ ' username ' ]; mysql_query (“SELECT * FROM users WHERE name = ’{ $name }’”); </p>ブラウザに http://localhost/xss/index と入力すると. php?username=confusing の場合、SQL SELECT ステートメントは正常に入力されます。これが私たちが望む結果です。
しかし、ブラウザに次のように入力すると: http://localhost/xss/index.php?username=confusing';DELETE FROM users;
この SQL ステートメントは次のようになります:
<p class="sycode"> SELECT * FROM users WHERE name = ' confusing ' ; DELETE FROM users; </p>
なんとひどいことでしょうもの。このステートメントは、users テーブルを削除します。
では、このような事態を防ぐにはどうすればよいでしょうか?
1) 入力を確認します
以下のコード スニペットを見てください:
<p class="sycode"> if (get_magic_quotes_gpc()) { </p> <p class="sycode"> $name = stripslashes($name); </p> <p class="sycode"> $name = mysql_real_escape_string ($_GET['username']; ); mysql_query (“SELECT * FROM users WHERE name = ’{ $name }’”); </p>これは安全ではないでしょうか?
前の記事で述べた Ctype など、より優れた PHP 関数ライブラリもいくつかあります。これらはすべて、適切なデータを検証するためのツールです。ユーザーが入力したデータを慎重にチェックする限り、攻撃を受ける可能性は最小限に抑えることができます。
今日はこれくらいしか書きません、私も勉強中です。さらに見つかった場合は、ここで直接更新されます。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7467
15
1376
52
77
11
19
20
Laravelでフラッシュセッションデータを使用します
Mar 12, 2025 pm 05:08 PM
Laravelは、直感的なフラッシュメソッドを使用して、一時的なセッションデータの処理を簡素化します。これは、アプリケーション内に簡単なメッセージ、アラート、または通知を表示するのに最適です。 データは、デフォルトで次の要求のためにのみ持続します。 $リクエスト -
PHPのカール:REST APIでPHPカール拡張機能を使用する方法
Mar 14, 2025 am 11:42 AM
PHPクライアントURL(CURL)拡張機能は、開発者にとって強力なツールであり、リモートサーバーやREST APIとのシームレスな対話を可能にします。尊敬されるマルチプロトコルファイル転送ライブラリであるLibcurlを活用することにより、PHP Curlは効率的なexecuを促進します
Laravelテストでの簡略化されたHTTP応答のモッキング
Mar 12, 2025 pm 05:09 PM
Laravelは簡潔なHTTP応答シミュレーション構文を提供し、HTTP相互作用テストを簡素化します。このアプローチは、テストシミュレーションをより直感的にしながら、コード冗長性を大幅に削減します。 基本的な実装は、さまざまな応答タイプのショートカットを提供します。 Illuminate \ support \ facades \ httpを使用します。 http :: fake([[ 'google.com' => 'hello world'、 'github.com' => ['foo' => 'bar']、 'forge.laravel.com' =>
Codecanyonで12の最高のPHPチャットスクリプト
Mar 13, 2025 pm 12:08 PM
顧客の最も差し迫った問題にリアルタイムでインスタントソリューションを提供したいですか? ライブチャットを使用すると、顧客とのリアルタイムな会話を行い、すぐに問題を解決できます。それはあなたがあなたのカスタムにより速いサービスを提供することを可能にします
PHPにおける後期静的結合の概念を説明します。
Mar 21, 2025 pm 01:33 PM
記事では、PHP 5.3で導入されたPHPの後期静的結合(LSB)について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ
フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。
Mar 28, 2025 pm 05:12 PM
この記事では、フレームワークにカスタム機能を追加し、アーキテクチャの理解、拡張ポイントの識別、統合とデバッグのベストプラクティスに焦点を当てています。
フレームワークセキュリティ機能:脆弱性から保護します。
Mar 28, 2025 pm 05:11 PM
記事では、入力検証、認証、定期的な更新など、脆弱性から保護するためのフレームワークの重要なセキュリティ機能について説明します。
