PHP安全实战:站长必学防注入与防护进阶
|
PHP作为最流行的Web开发语言之一,长期面临SQL注入、XSS、文件包含等经典攻击威胁。站长若仅依赖基础过滤或“ addslashes() + mysql_query()”老式组合,已无法应对现代攻击手法。真正的防护始于对数据流向的清醒认知:所有外部输入——URL参数、表单提交、HTTP头、Cookie甚至服务器环境变量——都必须视为不可信源。
AI分析图,仅供参考 SQL注入仍是高危榜首。绝不能拼接用户输入到SQL语句中。应全程使用PDO预处理语句,绑定参数类型(如PDO::PARAM_INT),让数据库引擎自动隔离数据与指令。例如查询用户时,用“SELECT FROM users WHERE id = ?”配合bindValue(1, $_GET['id'], PDO::PARAM_INT),而非“WHERE id = {$_GET['id']}”。即使ID被强制转为整型,也需在预处理中明确声明类型,防止类型绕过。XSS防护需分层落实。输出前必须根据上下文进行编码:HTML内容用htmlspecialchars($str, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8');JavaScript内联脚本中嵌入数据,改用json_encode($data, JSON_UNESCAPED_UNICODE | JSON_HEX_TAG | JSON_HEX_AMP);CSS或URL属性则需严格白名单校验后编码。切勿依赖前端JS过滤或仅对输入做一次“过滤”,因为XSS可发生在任意输出环节,且攻击向量持续演进。 文件操作是另一高风险区。上传文件必须重命名(如生成UUID+扩展名)、校验MIME类型(通过fileinfo扩展而非$_FILES['type'])、限制大小与目录路径,并将上传目录设置为非执行权限(如Nginx中配置location ~ \\.(php|sh|pl)$ { deny all; })。包含文件时禁用动态路径拼接,如require $dir . '/' . $_GET['page'],而应采用白名单映射:“$pages = ['home' => 'home.php', 'about' => 'about.php']; require $pages[$_GET['page']] ?? '404.php';” 会话安全常被忽视。启用session.cookie_httponly = 1与session.cookie_secure = 1(HTTPS环境下),避免JS窃取或明文传输;登录成功后务必调用session_regenerate_id(true)销毁旧ID;敏感操作(如密码修改)前验证用户二次身份(如当前密码或短信验证码),而非仅依赖会话存在性。 建立纵深防御意识。开启PHP错误报告(display_errors = Off,log_errors = On)防止信息泄露;禁用危险函数(disable_functions = exec,passthru,shell_exec,system,proc_open,popen);定期更新PHP版本与扩展,及时修补CVE漏洞;部署Web应用防火墙(WAF)作为最后一道网关,但绝不将其视为主动防护替代品。安全不是功能开关,而是贯穿开发、部署与运维的持续实践。 (编辑:站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
