国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

ホームページ バックエンド開発 PHPチュートリアル PHP アプリケーションを一般的な脆弱性から保護するための重要なセキュリティ対策

PHP アプリケーションを一般的な脆弱性から保護するための重要なセキュリティ対策

Nov 02, 2024 pm 11:34 PM

Essential Security Practices to Protect Your PHP Application from Common Vulnerabilities

PHP アプリケーションを保護するには、SQL インジェクション、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF)、セッション ハイジャック、ファイル インクルードなどの一般的な脆弱性からアプリケーションを保護する必要があります。攻撃します。ここでは、PHP アプリケーションを保護する方法を理解するのに役立つ、部分ごとの説明を含む実踐的な例を示します。

1. SQL インジェクションを防止

SQL インジェクションは、攻撃者が悪意のある SQL ステートメントをクエリに挿入できる場合に発生します。これを回避するには、パラメータ化されたクエリでプリペアド ステートメントを使用します。

:

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

説明:

  • 準備されたステートメントは SQL クエリをデータから分離し、悪意のあるコードの挿入を防ぎます。
  • bind_param は、直接入力によるクエリ構(gòu)造の変更を許可せずに、$user_id を SQL ステートメントにバインドします。

2. クロスサイト スクリプティング (XSS) を防止します

XSS は、攻撃者が他のユーザーが閲覧している Web ページに悪意のあるスクリプトを挿入するときに発生します。これを回避するには、常に出力をサニタイズしてエンコードします

:

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

説明:

  • htmlspecialchars は、特殊文字 (< や > など) を HTML エンティティに変換し、ユーザー入力に埋め込まれたスクリプトを無効にします。
  • ENT_QUOTES は一重引用符と二重引用符の両方をエスケープし、HTML 屬性での出力をより安全にします。

3. クロスサイト リクエスト フォージェリ (CSRF) を防止します

CSRF は、攻撃者がユーザーを騙して知らないうちにサイト上でアクションを?qū)g行させるときに発生します。 トークンを使用して、CSRF から保護します。

:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>

submit.php:

<?php
session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token validation failed.");
}

// Process form data
$data = $_POST['data'];
?>

説明:

  • 一意の CSRF トークンがセッションごとに生成され、フォームの非表示フィールドとして追加されます。
  • フォームが送信されると、トークンがチェックされます。保存されているセッション トークンと一致しない場合、リクエストは拒否されます。

4. セッションハイジャックを防止

セッションのハイジャックを避けるためにセッションを保護します。これには、厳密なセッション構(gòu)成の設定とセッション ID の再生成が含まれます。

:

<?php
session_start();

// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);

// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1);   // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs

// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
    session_unset();
    session_destroy();
    session_start();
}
?>

説明:

  • session_regenerate_id(true) は新しいセッション ID を生成し、セッション固定のリスクを軽減します。
  • cookie_httponly と cookie_secure を設定すると、JavaScript と安全でない (HTTPS 以外の) アクセスを制限することで、Cookie の盜難を防ぐことができます。

5. 安全なファイルアップロード

無制限にファイルをアップロードすると、悪意のあるファイルがアップロードされて実行される可能性があります。常にファイルの種類を検証し、安全に保存してください。

:

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

説明:

  • 許可されたタイプの配列に対してファイル拡張子をチェックすることにより、特定のファイル タイプのみを許可します。
  • ファイルを Web ルートの外部に保存し、move_uploaded_file を使用して直接 URL からアクセスできないようにします。

6. コンテンツ セキュリティ ポリシー (CSP) を使用する

CSP ヘッダーは、リソースのロード元を制限することで、XSS およびデータ インジェクション攻撃の防止に役立ちます。

(.htaccess ファイルまたはサーバー構(gòu)成に追加):

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

説明:

  • この CSP は、リソースが同じオリジン (自分自身) からのみ読み込まれるように制限し、trustedscripts.com からの JavaScript が許可されます。
  • これにより、外部スクリプトや信頼できないリソースの読み込みが防止され、XSS リスクが軽減されます。

7. 入力の検証とサニタイズ

入力検証とサニタイズを使用して、さまざまな種類のインジェクションを防止します。

:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>

説明:

  • FILTER_VALIDATE_INT は、年齢が有効な整數(shù)であるかどうかをチェックします。
  • FILTER_SANITIZE_STRING は、ユーザー名から HTML タグまたは特殊文字を削除します。

これらのメソッドを?qū)g裝すると、PHP アプリケーションが一般的な脆弱性からより適切に保護されます。最新のベスト プラクティスを常に把握し、コードにセキュリティ対策を一貫して適用することが重要です。

@ LinkedIn に連絡して、私のポートフォリオをチェックしてください。

私の GitHub プロジェクトにスターを付けてください ??

以上がPHP アプリケーションを一般的な脆弱性から保護するための重要なセキュリティ対策の詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。

このウェブサイトの聲明
この記事の內(nèi)容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰屬します。このサイトは、それに相當する法的責任を負いません。盜作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undress AI Tool

Undress AI Tool

脫衣畫像を無料で

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード寫真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

寫真から衣服を削除するオンライン AI ツール。

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中國語版

SublimeText3 中國語版

中國語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統(tǒng)合開発環(huán)境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

PHP変數(shù)スコープは説明されています PHP変數(shù)スコープは説明されています Jul 17, 2025 am 04:16 AM

PHP変數(shù)スコープの一般的な問題とソリューションには次のものが含まれます。1。グローバル変數(shù)は関數(shù)內(nèi)でアクセスできず、グローバルキーワードまたはパラメーターを使用して渡す必要があります。 2。靜的変數(shù)は靜的で宣言され、1回のみ初期化され、値は複數(shù)の呼び出し間で維持されます。 3. $ _GETや$ _POSTなどのハイパーグローバル変數(shù)は、任意の範囲で直接使用できますが、安全なフィルタリングに注意を払う必要があります。 4.匿名関數(shù)は、使用キーワードを使用して親スコープ変數(shù)を?qū)毪工氡匾ⅳ?、外部変?shù)を変更する場合は、參照を渡す必要があります。これらのルールを習得すると、エラーを回避し、コードの安定性が向上するのに役立ちます。

ファイルアップロードをPHPで安全に処理する方法は? ファイルアップロードをPHPで安全に処理する方法は? Jul 08, 2025 am 02:37 AM

PHPファイルのアップロードを安全に処理するには、ソースとタイプを確認し、ファイル名とパスを制御し、サーバー制限を設定し、メディアファイルを2回プロセスする必要があります。 1.トークンを介してCSRFを防ぐためにアップロードソースを確認し、ホワイトリストコントロールを使用してFINFO_FILEを介して実際のMIMEタイプを検出します。 2。ファイルをランダムな文字列に変更し、検出タイプに従って非WEBディレクトリに保存する拡張機能を決定します。 3。PHP構(gòu)成は、アップロードサイズを制限し、一時的なディレクトリnginx/apacheはアップロードディレクトリへのアクセスを禁止します。 4. GDライブラリは寫真を再利用して、潛在的な悪意のあるデータをクリアします。

PHPでコードをコメントします PHPでコードをコメントします Jul 18, 2025 am 04:57 AM

PHPコメントコードには3つの一般的な方法があります。1。//#を使用して1行のコードをブロックすると、//を使用することをお勧めします。 2。使用/.../複數(shù)の行でコードブロックをラップするには、ネストすることはできませんが交差することができます。 3. / if(){}を使用するなどの組み合わせスキルコメントロジックブロックを制御するか、エディターショートカットキーで効率を改善するには、シンボルを閉じることに注意を払い、使用時にネストを避ける必要があります。

発電機はPHPでどのように機能しますか? 発電機はPHPでどのように機能しますか? Jul 11, 2025 am 03:12 AM

ageneratorinphpisamemory-efficientwaytoateate-overdeatatasetasetasetasetsinging valueseintimeintimeturningthemallatonce.1.generatorsususedeywordproducevaluesedemand、memoryusage.2を還元すること。2

PHPコメントを書くためのヒント PHPコメントを書くためのヒント Jul 18, 2025 am 04:51 AM

PHPコメントを書くための鍵は、目的と仕様を明確にすることです。コメントは、「何が行われたのか」ではなく「なぜ」を説明する必要があり、冗長性や単純さを避けてください。 1.読みやすさとツールの互換性を向上させるために、クラスおよびメソッドの説明にdocblock(/*/)などの統(tǒng)合形式を使用します。 2。JSジャンプを手動で出力する必要がある理由など、ロジックの背後にある理由を強調(diào)します。 3.複雑なコードの前に概要説明を追加し、手順でプロセスを説明し、全體的なアイデアを理解するのに役立ちます。 4. TodoとFixmeを合理的に使用して、To Doアイテムと問題をマークして、その後の追跡とコラボレーションを促進します。優(yōu)れた注釈は、通信コストを削減し、コードメンテナンスの効率を向上させることができます。

PHPの學習:初心者向けガイド PHPの學習:初心者向けガイド Jul 18, 2025 am 04:54 AM

tolearnphpefctivially、startbysettingupalocalserverenvironmentusingtoolslikexamppandacodeeditorlikevscode.1)instalxamppforapa Che、mysql、andphp.2)useocodeeditorforsyntaxsupport.3)testyoursetup withasimplephpfile.next、Learnpbasicsincludingvariables、ech

PHPのインデックスごとに文字列內(nèi)の文字にアクセスする方法 PHPのインデックスごとに文字列內(nèi)の文字にアクセスする方法 Jul 12, 2025 am 03:15 AM

PHPでは、四角い括弧または巻き毛裝具を使用して文字列固有のインデックス文字を取得できますが、正方形のブラケットをお勧めします。インデックスは0から始まり、範囲外のアクセスはnull値を返し、値を割り當てることができません。 MB_SUBSTRは、マルチバイト文字を処理するために必要です。例:$ str = "hello"; echo $ str [0];出力h; MB_Substr($ str、1,1)などの漢字は、正しい結(jié)果を得る必要があります。実際のアプリケーションでは、ループする前に文字列の長さをチェックする必要があり、ダイナミック文字列を有効性のために検証する必要があり、多言語プロジェクトはマルチバイトセキュリティ関數(shù)を均一に使用することをお勧めします。

クイックPHPインストールチュートリアル クイックPHPインストールチュートリアル Jul 18, 2025 am 04:52 AM

to installphpquickly、usexampponwindowsorhomebrewonmacos.1.onwindows、downloadandinstallxampp、selectcomponents、startapache、andplacefilesinhtdocs.2

See all articles