PHP防注入及开发安全详细解析
在PHP开发中,安全防护的核心在于输入验证、输出过滤和参数化处理,以下是关键防护措施及代码示例:
SQL注入防护
根本解决方案:使用预处理语句
// PDO预处理示例
$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'user', 'pass');
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email AND status = :status');
$stmt->execute([
':email' => $_POST['email'],
':status' => 1
]);
$results = $stmt->fetchAll();
// MySQLi预处理示例
$mysqli = new mysqli("localhost", "user", "pass", "test");
$stmt = $mysqli->prepare("SELECT name FROM users WHERE id = ?");
$stmt->bind_param("i", $_GET['id']); // "i"表示整数类型
$stmt->execute();
严禁使用(高危操作):
// 绝对禁止的写法! $sql = "SELECT * FROM users WHERE id = " . $_GET['id']; mysqli_query($conn, $sql);
XSS(跨站脚本)防护
输出时进行HTML转义
// 基础转义 echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8'); // 富文本场景:使用HTMLPurifier库 require_once 'HTMLPurifier.auto.php'; $purifier = new HTMLPurifier(); $clean_html = $purifier->purify($dirty_html);
前端渲染注意事项:
- 在Vue/React中使用 自动转义
- 避免
v-html/dangerouslySetInnerHTML
CSRF防护
方案1:Token验证
// 生成Token(存储在session中)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// 表单中嵌入Token
<input type="hidden" name="csrf_token" value="<?=$_SESSION['csrf_token']?>">
// 验证Token
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
die("CSRF validation failed");
}
方案2:SameSite Cookie(PHP 7.3+)
session_set_cookie_params([
'samesite' => 'Strict',
'secure' => true, // 仅HTTPS
'httponly' => true
]);
文件上传安全
$allowed_types = ['image/jpeg', 'image/png'];
$max_size = 1024 * 1024; // 1MB
if ($_FILES['file']['error'] === UPLOAD_ERR_OK) {
// 1. 验证MIME类型
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES['file']['tmp_name']);
if (!in_array($mime, $allowed_types)) {
die("Invalid file type");
}
// 2. 验证扩展名
$ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);
if (!in_array(strtolower($ext), ['jpg', 'png'])) {
die("Invalid extension");
}
// 3. 重命名文件
$new_name = bin2hex(random_bytes(16)) . '.' . $ext;
move_uploaded_file(
$_FILES['file']['tmp_name'],
__DIR__ . '/uploads/' . $new_name
);
}
密码安全
使用password_hash()
// 存储密码
$hash = password_hash($_POST['password'], PASSWORD_DEFAULT);
// 验证密码
if (password_verify($input_password, $stored_hash)) {
// 登录成功
}
// 定期更新哈希算法(PHP自动处理)
其他关键安全措施
-
错误报告配置
ini_set('display_errors', 'Off'); // 生产环境关闭错误显示 error_reporting(E_ALL); // 日志记录所有错误 -
HTTPS强制
if ($_SERVER['HTTPS'] != 'on') { header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']); exit(); } -
依赖包安全
- 使用
composer管理依赖 - 定期运行
composer audit检查漏洞
- 使用
-
会话安全
session_start([ 'cookie_httponly' => true, 'cookie_secure' => true, // 仅HTTPS 'use_strict_mode' => true // 阻止会话固定攻击 ]);
-
输入验证过滤器
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL); if (!$email) { die("Invalid email"); }
安全开发原则小编总结
| 威胁类型 | 防护策略 | 关键工具/函数 |
|---|---|---|
| SQL注入 | 参数化查询 | PDO/mysqli预处理 |
| XSS | 输出转义 | htmlspecialchars() |
| CSRF | Token验证 | random_bytes() |
| 文件上传漏洞 | 类型+扩展名双重验证 | finfo_file() |
| 密码泄露 | 强哈希存储 | password_hash() |
| 敏感信息暴露 | 关闭错误显示 | display_errors=Off |
最佳实践:始终遵循最小权限原则(数据库账户仅赋予必要权限)、纵深防御(多层防护)、白名单验证(仅允许已知安全值)。
图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/291998.html
