简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP ファイルに脆弱性が含まれないようにするためのベスト プラクティス

王林
リリース: 2023-07-08 20:00:02
オリジナル
952 人が閲覧しました

PHP ファイル インクルードの脆弱性を防ぐためのベスト プラクティス

PHP のファイル インクルード機能は、開発者がさまざまなコード スニペットを組み合わせてコードを再利用できるようにする非常に一般的に使用される機能です。ただし、ファイルインクルード機能を誤って使用すると、セキュリティ上の脆弱性が発生し、攻撃者が悪意のあるコードを実行したり、機密情報にアクセスしたりする可能性があります。

この記事では、開発者が PHP ファイルインクルード関数を使用する際にセキュリティの脆弱性を防ぐのに役立ついくつかのベスト プラクティスと提案を紹介します。

  1. ユーザー入力の確認

ユーザー入力は、セキュリティ脆弱性の最も一般的な原因の 1 つです。ファイル組み込み機能を使用する前に、ユーザー入力を適切にフィルタリングして処理する必要があります。ファイルインクルード操作にはユーザー入力を直接使用せず、代わりに検証してサニタイズしてください。

サンプル コード: 

$filename = $_GET['file'];
if (preg_match('/^[a-zA-Z0-9_-]+$/',$filename)) {
    include($filename . '.php');
} else {
    // 非法的文件名
    echo 'Invalid file name';
}
ログイン後にコピー

上記の例では、正規表現を使用してファイル名をフィルタリングし、文字、数字、アンダースコア、およびハイフンを含む正当なファイル名のみを許可します。ファイル名が正しい場合は、ファイルの組み込み操作が実行されますが、そうでない場合は、エラー メッセージが返されます。

  1. 絶対パスを使用する

相対パスの代わりに絶対パスを使用すると、セキュリティが強化されます。相対パスにより、ファイルに含まれるターゲット ファイルが攻撃者が制御するファイルに置き換えられる可能性があります。したがって、インクルードされたファイルを参照するには絶対パスを使用することをお勧めします。

サンプル コード: 

$filename = '/path/to/included/file.php';
include($filename);
ログイン後にコピー

上記の例では、含めるファイルを参照するのに相対パスではなく絶対パスを使用します。

  1. 含めるファイルのホワイトリストを設定する

ファイルの含める範囲を制限するために、指定したファイルのみを含めることを許可するホワイトリストを設定できます。ホワイトリストを配列または構成ファイルに保存し、含める前にファイルを検証します。

サンプル コード: 

$whitelist = ['file1.php', 'file2.php'];

$filename = $_GET['file'];
if (in_array($filename, $whitelist)) {
    include($filename);
} else {
    // 无权访问文件
    echo 'Access denied';
}
ログイン後にコピー

上記の例では、ホワイトリストに定義されたファイルのみが含まれます。それ以外の場合は、エラー メッセージが返されます。

  1. 動的ファイルの組み込みを無効にする

PHP 構成ファイルの allow_url_includeOff に設定して、動的ファイルの組み込みを無効にします。これにより、攻撃者がリモート ファイルを含めて悪意のあるコードを実行するのを防ぎます。

サンプル コード (php.ini): 

allow_url_include = Off
ログイン後にコピー

動的ファイルの組み込みを無効にすることで、リモート ファイルが組み込まれるリスクを防ぐことができます。

  1. インクルード パスの制限

PHP では、include_path 変数を設定することで、インクルード ファイルの検索パスを制限できます。必要なファイルのみを含むディレクトリに設定すると、攻撃者がターゲットにできるファイルの数が減ります。

サンプル コード (php.ini): 

include_path = ".:/path/to/includes"
ログイン後にコピー

指定されたパスを持つディレクトリに include_path を設定して、指定されたディレクトリ内のファイルのみが含まれるようにします。

要約すると、PHP ファイル インクルードの脆弱性を防ぐためのベスト プラクティスには、ユーザー入力の確認、絶対パスの使用、インクルードされるファイルのホワイトリストの設定、動的ファイル インクルードの無効化、インクルード パスの制限が含まれます。これらのプラクティスを適切に使用および実装すると、アプリケーションのセキュリティが大幅に向上し、ファイルに脆弱性が含まれるリスクを軽減できます。

以上がPHP ファイルに脆弱性が含まれないようにするためのベスト プラクティスの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
入力検証 安全なファイルの組み込み ホワイトリスト認証
ソース:php.cn
前の記事:PHP が Tencent Cloud Object Storage Service に接続してファイル ストレージと管理機能を実装する方法 次の記事:PHP と Elasticsearch で実装されたリアルタイム画像検索ソリューション
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
v-model の電子メール値をメソッドに渡します こんにちは。入力に v-model を渡して電子メールを送信して検証をリセットしようとしていますが、入力から sendPasswordResetEmail に正しく渡す方法がわかり...
から 2024-04-05 10:04:40
0
1
405
getRedirectResult メソッドを使用して Google OAuth ユーザー データを抽出し、Firebase Firestore に保存するにはどうすればよいですか? Firebase Authentication を使用して、メール/パスワードと GoogleOAuth ログインという 2 つの方法でウェブサイト上のユーザーを認証しています。ユ...
から 2024-04-02 15:32:42
0
1
367
有効な電子メールアドレスにもかかわらず、JavaScript を使用した電子メール検証が機能しない htmlとjavascriptを使用して「ログイン」用と「登録」用の2つのフォームを作成しています。 JavaScript を使用して、フォームへの入力が有効かどうかを確認していま...
から 2024-03-30 14:49:34
0
1
333
jqueryを使用した電話番号の長さの検証が機能しない jqueryを使用して電話番号の長さを検証しようとしています。ユーザーが自分で入力を開始すると、次のコードが表示されるはずです。 functionvalidatePhone(pho...
から 2024-03-30 11:39:59
0
1
283
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!