Dengan perkembangan teknologi Internet yang berterusan, borang Web telah menjadi salah satu fungsi tapak web yang sangat diperlukan. Sama ada mendaftar, log masuk, mengulas atau melanggan, fungsi ini memerlukan pengguna mengisi borang. Walau bagaimanapun, ini juga bermakna bahawa borang web terdedah kepada pelbagai ancaman keselamatan. Sebagai tindak balas kepada ancaman ini, artikel ini akan memperkenalkan beberapa teknik perlindungan borang PHP untuk membantu anda melindungi aplikasi web anda.
Serangan skrip merentas tapak ialah ancaman keselamatan web biasa, di mana penyerang menyuntik kod hasad untuk mendapatkan akses kepada pengguna ' maklumat maklumat sensitif. Untuk mengelakkan serangan XSS, anda boleh mengekod data yang dimasukkan pengguna melalui fungsi terbina dalam PHP htmlspecialchars(). Contohnya:
<?php $name = $_POST['name']; echo 'Hello, ' . htmlspecialchars($name); ?>
Dalam kod di atas, htmlspecialchars() akan menukar semua aksara khas (seperti <, >, & dan ") kepada entiti HTML yang sepadan, sekali gus menghalang serangan XSS.
Input pengguna mungkin menyalahi undang-undang dalam pelbagai cara, seperti terlalu panjang, terlalu pendek, atau mengandungi aksara haram, dsb. Untuk mengelakkan masalah ini, anda boleh menggunakan. Fungsi terbina dalam strlen() dan preg_match() digunakan untuk menyemak dan mengehadkan input pengguna Contohnya:
<?php $name = $_POST['name']; if(strlen($name) > 20) { echo '用户名太长'; } else if(preg_match('/[^a-z0-9]/i', $name)) { echo '用户名包含非法字符'; } else { // 用户名合法,继续执行其他操作 } ?>
Dalam kod di atas, strlen() digunakan untuk menyemak panjang nama pengguna, dan. preg_match() digunakan untuk menyemak sama ada nama pengguna mengandungi aksara yang tidak sah, mesej ralat yang sepadan akan dikembalikan
<?php session_start(); if($_POST) { if(strtolower($_POST['captcha']) == strtolower($_SESSION['captcha'])) { // 验证码输入正确,继续执行其他操作 } else { echo '验证码输入错误'; } } $captcha = rand(1000, 9999); $_SESSION['captcha'] = $captcha; $img = imagecreate(50, 20); $bg = imagecolorallocate($img, 255, 255, 255); $fg = imagecolorallocate($img, 0, 0, 0); imagestring($img, 5, 10, 3, $captcha, $fg); header('Content-type: image/png'); imagepng($img); imagedestroy($img); ?>
Dalam kod di atas, session_start(). Apabila pengguna menyerahkan borang, jika kod pengesahan dimasukkan dengan betul, teruskan operasi lain; jika tidak, mesej ralat input kod pengesahan dipulangkan Pembolehubah captcha digunakan untuk menyimpan kandungan kod pengesahan, dan pembolehubah img digunakan untuk menjana imej kod pengesahan format ke PNG.
Cegah serangan suntikan SQL<?php $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email'); $stmt->execute(array('email' => $_POST['email'])); $user = $stmt->fetch(); ?>
Dalam kod di atas, pembolehubah $stmt digunakan untuk menjalankan operasi pertanyaan SQL. ) digunakan untuk menetapkan nilai parameter e-mel yang dimasukkan oleh pengguna parameterisasi perintah PDO secara automatik boleh membantu anda menapis kod hasad, dengan itu menghalang serangan suntikan SQL
Mengesan muat naik fail berniat jahat<?php if($_FILES) { $ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION); $tmp_file = $_FILES['file']['tmp_name']; if(class_exists('ClamAV')) { $clamav = new ClamAV(); $result = $clamav->scan($tmp_file); if(!$result) { echo '文件上传失败:包含恶意代码'; } else { $filename = uniqid('file_') . '.' . $ext; move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename); echo '文件上传成功'; } } else { // 若未找到Antivirus API,则提供默认处理方式 $filename = uniqid('file_') . '.' . $ext; move_uploaded_file($tmp_file, dirname(__FILE__) . '/uploads/' . $filename); echo '文件上传成功'; } } ?>
Dalam kod di atas, pembolehubah $ext digunakan untuk mendapatkan sambungan fail yang dimuat naik, dan pembolehubah $tmp_file digunakan untuk mendapatkan pembolehubah sementara laluan fail yang dimuat naik. Jika ia mengandungi kod hasad, mesej ralat yang sepadan akan dikembalikan; jika tidak, fail yang dimuat naik akan disimpan dalam direktori yang ditentukan
Ringkasan: Di atas adalah beberapa petua perlindungan borang PHP yang boleh membantu anda melindungi keselamatan aplikasi web. Walau bagaimanapun, petua ini hanyalah salah satu daripada langkah pencegahan Untuk melindungi sepenuhnya keselamatan aplikasi web, lebih banyak langkah keselamatan perlu ditambah.
Atas ialah kandungan terperinci Petua perlindungan bentuk PHP: Gunakan skrip bahagian belakang pelindung. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!