社区 学习 工具库 休闲
搜索
简体中文
首页 > 后端开发 > php教程 > 正文

保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践

Linda Hamilton
发布: 2024-11-02 23:34:30
原创
914 人浏览过

Essential Security Practices to Protect Your PHP Application from Common Vulnerabilities

保护您的 PHP 应用程序涉及保护其免受常见漏洞的影响,例如 SQL 注入、跨站点脚本 (XSS)、跨站点请求伪造 (CSRF)、会话劫持和文件包含攻击。这是一个带有逐部分描述的实践示例,可帮助您了解如何保护 PHP 应用程序。

1. 防止SQL注入

当攻击者可以将恶意 SQL 语句注入您的查询时,就会发生 SQL 注入。将准备好的语句与参数化查询一起使用可以避免这种情况。

示例

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>
登录后复制
登录后复制

说明

  • 准备好的语句将 SQL 查询与数据分开,防止恶意代码注入。
  • bind_param 将 $user_id 绑定到 SQL 语句,不允许直接输入修改查询结构。

2. 防止跨站脚本(XSS)

当攻击者将恶意脚本注入其他用户查看的网页时,就会发生 XSS。为了避免这种情况,请始终对输出进行清理和编码

示例

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>
登录后复制
登录后复制

说明

  • htmlspecialchars 将特殊字符(如 < 和 >)转换为 HTML 实体,中和用户输入中嵌入的任何脚本。
  • ENT_QUOTES 转义单引号和双引号,使 HTML 属性中的输出更安全。

3. 防止跨站请求伪造(CSRF)

当攻击者诱骗用户在用户不知情的情况下在网站上执行操作时,就会发生 CSRF。通过使用令牌来防止CSRF。

示例

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>
登录后复制
登录后复制

在submit.php中:

<?php
session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token validation failed.");
}

// Process form data
$data = $_POST['data'];
?>
登录后复制

说明

  • 每个会话都会生成一个唯一的 CSRF 令牌,并作为隐藏字段添加到表单中。
  • 提交表单时,将检查令牌。如果与存储的会话令牌不匹配,则请求将被拒绝。

4. 防止会话劫持

保护您的会话以避免会话劫持。这包括设置严格的会话配置重新生成会话ID

示例

<?php
session_start();

// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);

// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1);   // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs

// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
    session_unset();
    session_destroy();
    session_start();
}
?>
登录后复制

说明

  • session_regenerate_id(true) 生成新的会话ID,降低会话固定的风险。
  • 设置 cookie_httponly 和 cookie_secure 有助于通过限制 JavaScript 和不安全(非 HTTPS)访问来防止 cookie 被盗。

5. 安全文件上传

不受限制的文件上传可能会导致恶意文件被上传并执行。始终验证文件类型安全地存储它们

示例

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>
登录后复制
登录后复制

说明

  • 通过根据允许的类型数组检查文件扩展名来仅允许特定的文件类型。
  • 将文件存储在 Web 根目录之外,并使用 move_uploaded_file 确保无法通过直接 URL 访问它。

6. 使用内容安全策略 (CSP)

CSP 标头可以通过限制资源加载位置来帮助防止 XSS 和数据注入攻击。

示例(要添加到 .htaccess 文件或服务器配置中):

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>
登录后复制
登录后复制

说明

  • 此 CSP 限制资源仅从同源(自身)加载,并且允许来自 trustscripts.com 的 JavaScript。
  • 这可以防止加载外部脚本或不受信任的资源,从而降低 XSS 风险。

7. 输入验证和清理

使用输入验证和清理来防止各种类型的注入。

示例

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>
登录后复制
登录后复制

说明

  • FILTER_VALIDATE_INT 检查年龄是否为有效整数。
  • FILTER_SANITIZE_STRING 从用户名中删除所有 HTML 标签或特殊字符。

通过实施这些方法,您的 PHP 应用程序将得到更好的保护,免受常见漏洞的影响。保持最新的最佳实践并对您的代码持续应用安全措施非常重要。

与我联系:@ LinkedIn 并查看我的作品集。

请给我的 GitHub 项目一颗星 ⭐️

以上是保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践的详细内容。更多信息请关注PHP中文网其他相关文章!

来源:dev.to
上一篇:合并具有重复键的数组时如何保留键值对? 下一篇:如何将 PHP 变量转换为字符串:一个简单的解决方案?
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
function_exists()无法判定自定义函数 function test()    {        return true;    }    if (function_exists('TEST')) {        ech...
来自于 2024-04-29 11:01:01
0
2
1913
google 浏览器 手机版显示的怎么实现 老师您好,google 浏览器怎么变成手机版样式的?
来自于 2024-04-23 00:22:19
0
10
2087
子窗口操作父窗口,输出没反应 前两句可执行,最后一句没法应
来自于 2024-04-19 15:37:47
0
1
1756
父窗口没有输出 document.onclick = function(){ window.opener.document.write('我是子窗口的输出');                  ...
来自于 2024-04-18 23:52:34
0
1
1656
关于CSS思维导图的课件在哪? 课件
来自于 2024-04-16 10:10:18
0
0
1665
相关专题
更多>
热门推荐
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板