Melindungi aplikasi PHP anda melibatkan melindunginya daripada kelemahan biasa seperti suntikan SQL, skrip silang tapak (XSS), pemalsuan permintaan silang tapak (CSRF), rampasan sesi dan kemasukan fail serangan. Berikut ialah contoh praktikal dengan penerangan bahagian demi bahagian untuk membantu anda memahami cara melindungi aplikasi PHP anda.
Suntikan SQL berlaku apabila penyerang boleh menyuntik pernyataan SQL berniat jahat ke dalam pertanyaan anda. Gunakan penyataan yang disediakan dengan pertanyaan berparameter untuk mengelakkan perkara ini.
Contoh:
<?php // Insecure version $user_id = $_GET['id']; $query = "SELECT * FROM users WHERE id = '$user_id'"; $result = mysqli_query($connection, $query); // Secure version $user_id = $_GET['id']; $stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $user_id); // "i" for integer $stmt->execute(); $result = $stmt->get_result(); ?>
Penjelasan:
XSS berlaku apabila penyerang menyuntik skrip berniat jahat ke dalam halaman web yang dilihat oleh pengguna lain. Untuk mengelakkan perkara ini, sentiasa sanitasi dan kodkan output.
Contoh:
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . "</p>"; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
Penjelasan:
CSRF berlaku apabila penyerang memperdaya pengguna untuk melakukan tindakan di tapak tanpa pengetahuan mereka. Lindungi daripada CSRF dengan menggunakan token.
Contoh:
<?php // Generate CSRF token session_start(); if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } // Add token to form echo '<form method="POST" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="Submit">'; echo '</form>'; ?>
Dalam submit.php:
<?php session_start(); if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) { die("CSRF token validation failed."); } // Process form data $data = $_POST['data']; ?>
Penjelasan:
Lindungi sesi anda untuk mengelakkan rampasan sesi. Ini termasuk menetapkan konfigurasi sesi dan menjana semula ID sesi yang ketat.
Contoh:
<?php session_start(); // Regenerate session ID to avoid fixation attacks session_regenerate_id(true); // Configure secure session parameters ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies ini_set('session.cookie_secure', 1); // Ensure cookies are sent over HTTPS ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs // Set session timeout $_SESSION['LAST_ACTIVITY'] = time(); // update last activity time if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout session_unset(); session_destroy(); session_start(); } ?>
Penjelasan:
Muat naik fail tanpa had boleh menyebabkan fail berniat jahat dimuat naik dan dilaksanakan. Sentiasa sahkan jenis fail dan simpannya dengan selamat.
Contoh:
<?php // Insecure version $user_id = $_GET['id']; $query = "SELECT * FROM users WHERE id = '$user_id'"; $result = mysqli_query($connection, $query); // Secure version $user_id = $_GET['id']; $stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $user_id); // "i" for integer $stmt->execute(); $result = $stmt->get_result(); ?>
Penjelasan:
Pengepala CSP boleh membantu menghalang XSS dan serangan suntikan data dengan mengehadkan tempat sumber boleh dimuatkan.
Contoh (untuk ditambahkan dalam fail .htaccess atau konfigurasi pelayan):
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . "</p>"; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
Penjelasan:
Gunakan pengesahan input dan sanitasi untuk mengelakkan pelbagai jenis suntikan.
Contoh:
<?php // Generate CSRF token session_start(); if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } // Add token to form echo '<form method="POST" action="submit.php">'; echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">'; echo '<input type="text" name="data">'; echo '<input type="submit" value="Submit">'; echo '</form>'; ?>
Penjelasan:
Dengan melaksanakan kaedah ini, aplikasi PHP anda akan dilindungi dengan lebih baik daripada kelemahan biasa. Adalah penting untuk sentiasa mengikuti perkembangan terkini dengan amalan terbaik dan secara konsisten menggunakan langkah keselamatan pada kod anda.
Hubungi saya:@ LinkedIn dan semak Portfolio saya.
Sila berikan Projek GitHub saya bintang ⭐️
Atas ialah kandungan terperinci Amalan Keselamatan Penting untuk Melindungi Aplikasi PHP Anda daripada Kerentanan Biasa. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!