本篇文章給大家分享的是有關(guān)PHP中常見的安全問題和解決方法，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

創(chuàng)新互聯(lián)專注于溪湖企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站開發(fā),商城網(wǎng)站建設(shè)。溪湖網(wǎng)站建設(shè)公司,為溪湖等地區(qū)提供建站服務(wù)。全流程按需求定制設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

1、SQL注入

SQL 注入是對您網(wǎng)站最大的威脅之一，如果您的數(shù)據(jù)庫受到別人的 SQL 注入的攻擊的話，別人可以轉(zhuǎn)出你的數(shù)據(jù)庫，也許還會產(chǎn)生更嚴(yán)重的后果。

解決方法：

主流的解決方法有兩種。轉(zhuǎn)義用戶輸入的數(shù)據(jù)或者使用封裝好的語句。轉(zhuǎn)義的方法是封裝好一個(gè)函數(shù)，用來對用戶提交的數(shù)據(jù)進(jìn)行過濾，去掉有害的標(biāo)簽。但是，我不太推薦使用這個(gè)方法，因?yàn)楸容^容易忘記在每個(gè)地方都做此處理。

下面，我來介紹如何使用 PDO 執(zhí)行封裝好的語句（ mysqi 也一樣）：

$username = $_GET['username'];
 
$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');
 
$query->execute(['username' => $username]);
 
$data = $query->fetch();

2、XSS

XSS 又叫 CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往 Web 頁面里插入惡意 html 代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中 Web 里面的 html 代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。

解決方法：

堅(jiān)決不要相信用戶的任何輸入，并過濾掉輸入中的所有特殊字符。這樣就能消滅絕大部分的 XSS 攻擊：

<?php
 
$searchQuery = htmlentities($searchQuery, ENT_QUOTES);

或者你可以使用模板引擎 Twig ，一般的模板引擎都會默認(rèn)為輸出加上 htmlentities 防范。

3、XSRF/CSRF

CSRF 是跨站請求偽造的縮寫，它是攻擊者通過一些技術(shù)手段欺騙用戶去訪問曾經(jīng)認(rèn)證過的網(wǎng)站并運(yùn)行一些操作。

解決方法：

最常用的防御方法是生成一個(gè) CSRF 令牌加密安全字符串，一般稱其為 Token，并將 Token 存儲于 Cookie 或者 Session 中。

每次你在網(wǎng)頁構(gòu)造表單時(shí)，將 Token 令牌放在表單中的隱藏字段，表單請求服務(wù)器以后會根據(jù)用戶的 Cookie 或者 Session 里的 Token 令牌比對，校驗(yàn)成功才給予通過。

由于攻擊者無法知道 Token 令牌的內(nèi)容（每個(gè)表單的 Token 令牌都是隨機(jī)的），因此無法冒充用戶。

以上就是PHP中常見的安全問題和解決方法，小編相信有部分知識點(diǎn)可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

當(dāng)前題目：PHP中常見的安全問題和解決方法
本文網(wǎng)址：http://chinadenli.net/article16/gojogg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機(jī)、定制網(wǎng)站、微信小程序、商城網(wǎng)站、網(wǎng)站營銷、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)