Bagaimana untuk mengelakkan data borang PHP daripada diganggu?

Bagaimana untuk mengelakkan data borang PHP daripada diganggu?

Apabila membangunkan tapak web menggunakan PHP, borang ialah kaedah interaksi yang kerap digunakan. Walau bagaimanapun, banyak kali kami menghadapi isu keselamatan yang serius, iaitu, risiko data borang diganggu. Penggodam mungkin melakukan operasi buruk dengan mengganggu data borang, seperti menyerahkan data secara berniat jahat, mengubah suai maklumat orang lain, dsb. Untuk mengelakkan perkara ini daripada berlaku, kami perlu menambah beberapa langkah keselamatan pada PHP. Berikut akan memperkenalkan beberapa kaedah biasa untuk mengelakkan data borang PHP daripada diganggu.

1. Sahkan sumber borang
   Apabila pelanggan menyerahkan data borang kepada pelayan, kami boleh memastikan kesahihan data dengan mengesahkan sumber permintaan. Cara yang paling biasa ialah menggunakan pengesahan Sesi atau pengesahan Token.

Prinsip pengesahan Sesi ialah apabila pengguna mengakses tapak web, pelayan memberikannya ID Sesi unik dan menyimpan ID pada pelayan. Apabila pengguna menyerahkan borang, pelayan akan membandingkan sama ada ID Sesi yang diserahkan dalam borang adalah konsisten dengan ID Sesi yang disimpan oleh pelayan. Jika ia tidak konsisten, sumber data mungkin menyalahi undang-undang.

Kod contoh:

session_start();
if(isset($_SESSION['token']) && $_POST['token'] == $_SESSION['token']){
    // 验证通过，处理表单数据
}else{
    // 验证失败，提示错误信息
}

Prinsip pengesahan Token adalah untuk membenamkan Token yang dijana secara rawak dalam borang, dan menghantar Token ke pelayan apabila borang diserahkan. Selepas pelayan menerimanya, ia mengesahkan sama ada Token dalam borang adalah konsisten dengan Token yang disimpan dalam pelayan Jika ia konsisten, pengesahan itu lulus.

Kod sampel:

session_start();
if(isset($_POST['token']) && $_POST['token'] == $_SESSION['token']){
    // 验证通过，处理表单数据
}else{
    // 验证失败，提示错误信息
}

2. Menggunakan protokol HTTPS
   Menggunakan protokol HTTPS boleh melindungi penghantaran data yang selamat melalui penyulitan data. Protokol HTTPS menggunakan SSL (Secure Socket Layer) atau TLS (Transport Layer Security) untuk menyulitkan kandungan komunikasi. Dengan cara ini, walaupun penggodam memintas data yang dihantar, dia tidak boleh menyahsulit kandungan, dengan itu memastikan integriti dan keselamatan data.

Contoh kod:

if($_SERVER['HTTPS'] != 'on'){
    header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    exit();
}

3. Sahkan kesahihan data borang
   Selain mengesahkan sumber borang, kami juga perlu mengesahkan kesahihan data input dalam borang untuk menghalang penggodam daripada menggunakan data berniat jahat untuk diserahkan . Sebagai contoh, anda boleh melakukan pengesahan format pada nombor telefon mudah alih, alamat e-mel, kata laluan, dsb. dalam borang.

Contoh kod:

if(!preg_match("/^1[3456789]d{9}$/", $_POST['phone'])){
    // 手机号格式不正确，提示错误信息
}

if(!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)){
    // 邮箱格式不正确，提示错误信息
}

4. Sulitkan dan simpan data sensitif
   Apabila borang mengandungi maklumat sensitif pengguna, seperti kata laluan, nombor ID, dsb., kami harus menyulitkan data sebelum menyimpannya dalam pangkalan data. Dengan cara ini, walaupun penggodam memperoleh data dalam pangkalan data, dia tidak akan dapat memperoleh maklumat sensitif teks biasa.

Contoh kod:

$password = md5($_POST['password']); // 使用MD5加密密码
// 存储到数据库

Ringkasan:
Dengan mengesahkan sumber data borang, menggunakan protokol HTTPS, mengesahkan kesahihan data dan menyulitkan serta menyimpan data sensitif, kami boleh mencegah risiko data borang PHP diganggu dengan berkesan. . Dalam pembangunan, kita harus sentiasa mengutamakan keselamatan untuk memastikan data pengguna tidak diserang oleh penggodam.

Atas ialah kandungan terperinci Bagaimana untuk mengelakkan data borang PHP daripada diganggu?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!