Bagaimana untuk mengelakkan borang PHP daripada digodam?

Bagaimana untuk mengelakkan borang PHP daripada digodam?

Dengan perkembangan Internet, laman web telah menjadi platform penting untuk orang ramai mendapatkan maklumat, berkongsi kandungan dan berkomunikasi. Borang di laman web sering digunakan untuk pengguna menghantar data, mendaftar akaun, meninggalkan mesej dan fungsi lain. Walau bagaimanapun, disebabkan kewujudan penggodam, data borang kami mudah diserang dan diganggu, menyebabkan isu keselamatan yang serius. Untuk mengelakkan borang PHP daripada diserang oleh penggodam, kami akan memperkenalkan beberapa langkah perlindungan keselamatan biasa dan contoh kod yang berkaitan di bawah.

1. Pengesahan Input
   Penggodam sering menggunakan kotak input dalam bentuk untuk menyuntik kod berbahaya, seperti suntikan SQL, serangan XSS, dsb. Oleh itu, kami perlu mengesahkan dan menapis input pengguna untuk memastikan data yang dimasukkan memenuhi format dan keperluan yang diharapkan.
   Berikut ialah contoh mudah untuk mengesahkan sama ada nama pengguna dalam borang memenuhi keperluan format (hanya mengandungi huruf, nombor dan garis bawah, dan panjangnya 5-15 aksara):

$username = $_POST['username'];
if (!preg_match("/^[a-zA-Z0-9_]{5,15}$/", $username)) {
  // 用户名格式错误，进行相应处理
}

2. Cegah serangan skrip merentas tapak (XSS)
   Serangan XSS merujuk kepada penyerang yang menyuntik skrip berniat jahat ke dalam halaman web, menyebabkan data pengguna dicuri atau diusik. Untuk mengelakkan serangan XSS, kita harus menapis dan melarikan data input dan output pengguna.
   Berikut ialah contoh mudah untuk menapis input pengguna:

$content = $_POST['content'];
$filtered_content = htmlspecialchars($content);
// 使用$filtered_content继续进行下一步处理

3. Mencegah Pemalsuan Permintaan Rentas Tapak (CSRF)
   Serangan CSRF merujuk kepada penggodam yang melakukan tugas dengan menyamar atau memujuk pengguna untuk log masuk ke tapak web. Operasi berniat jahat. Untuk mengelakkan serangan CSRF, kami boleh menggunakan mekanisme pengesahan token.
   Berikut ialah contoh mudah untuk menjana dan mengesahkan token:

session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  $token = $_POST['token'];
  if (!isset($_SESSION['token']) || $token !== $_SESSION['token']) {
    // token验证失败，进行相应处理
  } else {
    // token验证通过，进行正常处理
  }
} else {
  $token = md5(uniqid(rand(), true));
  $_SESSION['token'] = $token;
  // 在表单中使用<input type="hidden" name="token" value="<?php echo $token; ?>" />将token传递给后端
}

4. Keselamatan Pangkalan Data
   Apabila kami menyimpan data pengguna ke dalam pangkalan data, kami mesti memberi perhatian untuk mencegah serangan suntikan SQL. Kita harus menggunakan pertanyaan SQL berparameter dan bukannya menyambung penyataan SQL secara langsung menggunakan input pengguna.
   Berikut ialah contoh mudah menggunakan pernyataan yang disediakan PDO untuk pertanyaan SQL:

$username = $_POST['username'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username = :username AND password = :password";
$stmt = $pdo->prepare($sql);
$stmt->bindValue(':username', $username);
$stmt->bindValue(':password', $password);
$stmt->execute();
// 处理查询结果

Ringkasnya, untuk mengelakkan borang PHP daripada digodam, kita perlu melakukan pengesahan input, mencegah serangan XSS, mencegah serangan CSRF dan melindungi pangkalan data keselamatan . Saya harap langkah perlindungan keselamatan dan contoh kod di atas dapat membantu anda melindungi tapak web dan data pengguna anda dengan lebih baik.

Atas ialah kandungan terperinci Bagaimana untuk mengelakkan borang PHP daripada digodam?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!