PHP セーフコーディングの原則: filter_var 関数を使用してユーザー入力をフィルタリングしてエスケープする方法-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP セーフコーディングの原則: filter_var 関数を使用してユーザー入力をフィルタリングしてエスケープする方法

Aug 02, 2023 pm 02:42 PM

セキュアコーディングユーザー入力フィルター変数関数

PHP セキュアコーディングの原則: filter_var 関数を使用してユーザー入力をフィルタリングおよびエスケープする方法

はじめに:
Web アプリケーションを開発する場合、セキュリティは重要な要素です。ユーザー入力のフィルタリングとエスケープは、SQL インジェクション、クロスサイトスクリプティング攻撃、その他のセキュリティ脆弱性を防ぐための重要な手順です。 PHP では、filter_var 関数を使用して、ユーザー入力のフィルタリングとエスケープを簡単に実現できます。この記事では、filter_var 関数を適切に使用して PHP アプリケーションを保護する方法を説明します。

filter_var 関数とは何ですか?
filter_var 関数は、PHP の強力なフィルタリング関数であり、さまざまな種類のデータをフィルタリングおよび検証するために使用されます。さまざまなフィルターを使用することで、ユーザーが入力したデータをフィルターして検証し、そのセキュリティを確保できます。
ユーザー入力のフィルタリング
ユーザー入力のフィルタリングは、Web アプリケーションを保護するための重要な手順です。ユーザー入力を受信した場合は、悪意のあるコードや文字の可能性があるものを除外する必要があります。一般的に使用されるフィルターとサンプルコードをいくつか示します。

a) FILTER_SANITIZE_STRING: 文字列内の HTML タグと PHP タグをフィルターします。

$input = &quot;&lt;script&gt; alert('XSS attack!') &lt;/script&gt;&quot;
$clean_input = filter_var($input, FILTER_SANITIZE_STRING);
echo $clean_input; // 输出：alert('XSS attack!')

ログイン後にコピー

b) FILTER_SANITIZE_EMAIL: 文字列内の文字、数字、@ を除くすべての文字を削除します。

$email = &quot;john.doe@example.com&quot;;
$clean_email = filter_var($email, FILTER_SANITIZE_EMAIL);
echo $clean_email; // 输出：john.doe@example.com

ログイン後にコピー

c) FILTER_SANITIZE_URL: 文字、数字、:/.?=& を除く文字列内のすべての文字を削除します。

$url = &quot;http://example.com/?q=test&quot;;
$clean_url = filter_var($url, FILTER_SANITIZE_URL);
echo $clean_url; // 输出：http://example.com/?q=test

ログイン後にコピー

ユーザー入力をエスケープする
ユーザー入力をフィルタリングすることに加えて、クロスサイトスクリプティング攻撃を防ぐためにユーザー入力をエスケープする必要もあります。以下に、一般的に使用されるエスケープ関数とサンプルコードを示します。

a) htmlspecialchars 関数: 特殊文字を HTML エンティティに変換します。

$input = &quot;&lt;script&gt; alert('XSS attack!') &lt;/script&gt;&quot;;
$escaped_input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
echo $escaped_input; // 输出：&lt;script&gt; alert('XSS attack!') &lt;/script&gt;

ログイン後にコピー

b)addslashes 関数: 文字列内の特定の文字の前にバックスラッシュを追加します。

$input = &quot;It's a beautiful day!&quot;;
$escaped_input = addslashes($input);
echo $escaped_input; // 输出：It's a beautiful day!

ログイン後にコピー

ユーザー入力のフィルタリングとエスケープの包括的な適用
実際の開発では、通常、ユーザー入力のフィルタリングとエスケープの方法を包括的に適用する必要があります。以下は、包括的なアプリケーションのサンプルコードです:

$username = $_POST['username'];
$password = $_POST['password'];

$clean_username = filter_var($username, FILTER_SANITIZE_STRING);
$clean_password = addslashes($password);

// 在数据库查询前使用转义后的数据
$query = &quot;SELECT * FROM users WHERE username='$clean_username' AND password='$clean_password'&quot;;

ログイン後にコピー

概要:
filter_var 関数を使用すると、ユーザー入力を簡単かつ効果的にフィルタリングして回避できるため、Web アプリケーションのセキュリティが向上します。。ユーザー入力を処理するときは、SQL インジェクション、XSS、およびその他の一般的なセキュリティ脆弱性を防ぐために、常にフィルタリングおよびエスケープ方法を使用する必要があります。

実際の開発では、ユーザー入力のフィルタリングとエスケープはアプリケーションを保護するための防御の最前線にすぎないことに注意してください。入力検証、準備されたステートメントの使用など、他のセキュリティ対策も使用する必要があります。複数のセキュリティ対策を組み合わせて適用することによってのみ、アプリケーションの安全性を可能な限り確保することができます。

詳細情報:

[PHP: filter_var 関数](https://www.php.net/manual/zh/function.filter-var.php)
[PHP: htmlspecialchars 関数](https://www.php.net/manual/zh/function.htmlspecialchars.php)
[PHP: addlashes 関数](https://www.php .net/manual/zh/function.addslashes.php)

以上がPHP セーフコーディングの原則: filter_var 関数を使用してユーザー入力をフィルタリングしてエスケープする方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。