保护您的 php 应用程序涉及保护其免受常见漏洞的影响,例如 sql 注入、跨站点脚本 (xss)、跨站点请求伪造 (csrf)、会话劫持和文件包含攻击。这是一个带有逐部分描述的实践示例,可帮助您了解如何保护 php 应用程序。
1. 防止sql注入
当攻击者可以将恶意 sql 语句注入您的查询时,就会发生 sql 注入。将准备好的语句与参数化查询一起使用可以避免这种情况。
示例:
<?php
// insecure version
$user_id = $_get['id'];
$query = "select * from users where id = '$user_id'";
$result = mysqli_query($connection, $query);
// secure version
$user_id = $_get['id'];
$stmt = $connection->prepare("select * from users where id = ?");
$stmt->bind_param("i", $user_id); // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>
登录后复制
说明:
- 准备好的语句将 sql 查询与数据分开,防止恶意代码注入。
- bind_param 将 $user_id 绑定到 sql 语句,不允许直接输入修改查询结构。
2. 防止跨站脚本(xss)
当攻击者将恶意脚本注入其他用户查看的网页时,就会发生 xss。为了避免这种情况,请始终对输出进行清理和编码。
立即学习“PHP免费学习笔记(深入)”;
示例:
<?php // insecure version echo "登录后复制welcome, " . $_get['username'] . "
"; // secure version echo "welcome, " . htmlspecialchars($_get['username'], ent_quotes, 'utf-8') . "
"; ?>
说明:
- htmlspecialchars 将特殊字符(如 )转换为 html 实体,中和用户输入中嵌入的任何脚本。
- ent_quotes 转义单引号和双引号,使 html 属性中的输出更安全。
3. 防止跨站请求伪造(csrf)
当攻击者诱骗用户在用户不知情的情况下在网站上执行操作时,就会发生 csrf。通过使用令牌来防止csrf。
示例:
<?php
// generate csrf token
session_start();
if (empty($_session['csrf_token'])) {
$_session['csrf_token'] = bin2hex(random_bytes(32));
}
// add token to form
echo '<form method="post" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_session['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="submit">';
echo '</form>';
?>
登录后复制
在submit.php中:
<?php
session_start();
if ($_post['csrf_token'] !== $_session['csrf_token']) {
die("csrf token validation failed.");
}
// process form data
$data = $_post['data'];
?>
登录后复制
说明:
- 每个会话都会生成一个唯一的 csrf 令牌,并作为隐藏字段添加到表单中。
- 提交表单时,将检查令牌。如果与存储的会话令牌不匹配,则请求将被拒绝。
4. 防止会话劫持
保护您的会话以避免会话劫持。这包括设置严格的会话配置和重新生成会话id。
示例:
<?php
session_start();
// regenerate session id to avoid fixation attacks
session_regenerate_id(true);
// configure secure session parameters
ini_set('session.cookie_httponly', 1); // prevent javascript access to session cookies
ini_set('session.cookie_secure', 1); // ensure cookies are sent over https
ini_set('session.use_strict_mode', 1); // prevent accepting uninitialized session ids
// set session timeout
$_session['last_activity'] = time(); // update last activity time
if (time() - $_session['last_activity'] > 1800) { // 30 minutes timeout
session_unset();
session_destroy();
session_start();
}
?>
登录后复制
说明:
- session_regenerate_id(true) 生成新的会话id,降低会话固定的风险。
- 设置 cookie_httponly 和 cookie_secure 有助于通过限制 javascript 和不安全(非 https)访问来防止 cookie 被盗。
5. 安全文件上传
不受限制的文件上传可能会导致恶意文件被上传并执行。始终验证文件类型并安全地存储它们。
示例:
<?php
$allowed_extensions = ['jpg', 'jpeg', 'png', 'gif'];
$file_name = $_files['file']['name'];
$file_extension = pathinfo($file_name, pathinfo_extension);
// check file extension
if (!in_array($file_extension, $allowed_extensions)) {
die("invalid file type.");
}
// store in a safe location (outside web root) with a unique name
$target_dir = "/var/www/uploads/";
$target_file = $target_dir . basename($file_name);
if (move_uploaded_file($_files['file']['tmp_name'], $target_file)) {
echo "file uploaded successfully.";
} else {
echo "file upload failed.";
}
?>
登录后复制
说明:
- 通过根据允许的类型数组检查文件扩展名来仅允许特定的文件类型。
- 将文件存储在 web 根目录之外,并使用 move_uploaded_file 确保无法通过直接 url 访问它。
6. 使用内容安全策略 (csp)
csp 标头可以通过限制资源加载位置来帮助防止 xss 和数据注入攻击。
示例(要添加到 .htaccess 文件或服务器配置中):
header set content-security-policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://trustedscripts.com"登录后复制
说明:
- 此 csp 限制资源仅从同源(自身)加载,并且允许来自 trustscripts.com 的 javascript。
- 这可以防止加载外部脚本或不受信任的资源,从而降低 xss 风险。
7. 输入验证和清理
使用输入验证和清理来防止各种类型的注入。
示例:
<?php
// Validate integer input
$age = filter_input(INPUT_GET, 'age', FILTER_VALIDATE_INT);
if ($age === false) {
die("Invalid age value.");
}
// Sanitize string input
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
?>
登录后复制
说明:
- filter_validate_int 检查年龄是否为有效整数。
- filter_sanitize_string 从用户名中删除所有 html 标签或特殊字符。
通过实施这些方法,您的 php 应用程序将得到更好的保护,免受常见漏洞的影响。保持最新的最佳实践并对您的代码持续应用安全措施非常重要。
与我联系:@ linkedin 并查看我的作品集。
请给我的 github 项目一颗星 ⭐️
以上就是保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践的详细内容,更多请关注慧达安全导航其它相关文章!
免责 声明
1、本网站名称:慧达安全导航
2、本站永久网址:https//www.huida178.com/
3、本站所有资源来源于网友投稿和高价购买,所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习,本站不提供任何技术服务!
4、本站所有资源的属示图片和信息不代表本站的立场!本站只是储蓄平台及搬运
5、下载者禁止在服务器和虚拟机下进行搭建运营,本站所有资源不支持联网运行!只允许调试,参考和研究!!!!
6、未经原版权作者许可禁止用于任何商业环境,任何人不得擅作它用,下载者不得用于违反国家法律,否则发生的一切法律后果自行承担!
7、为尊重作者版权,请在下载24小时内删除!请购买原版授权作品,支持你喜欢的作者,谢谢!
8.若资源侵犯了您的合法权益,请持 您的版权证书和相关原作品信息来信通知我们!QQ:1247526623我们会及时删除,给您带来的不便,我们深表歉意!
9、如下载链接失效、广告或者压缩包问题请联系站长处理
10、如果你也有好源码或者教程,可以发布到网站,分享有金币奖励和额外收入!
11、本站资源售价只是赞助,收取费用仅维持本站的日常运营所需
12、因源码具有可复制性,一经赞助,不得以任何形式退款。
13、本文内容由网友自发贡献和站长收集,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系1247526623@qq.com
转载请注明出处: 慧达安全导航 » 保护您的 PHP 应用程序免受常见漏洞影响的基本安全实践
发表评论 取消回复