PHPアプリケーションのセキュリティは、5つの重要な測定を通じて改善できます。 1. PDOやMySQLIなどのSQL注入を防ぐために、前処理ステートメントを使用します。 2. Filter_Varやhtmlspecialcharsなどのユーザー入力を確認およびフィルタリングします。 3. CSRFトークン保護を実裝し、フォームリクエストを確認します。 4. ID再生や安全なCookieパラメーターを含む安全な管理セッション。 5.アプリケーション保護機能を完全に強化するために、コンテンツセキュリティポリティやXフレームオプションなどのHTTPSとセットHTTPセキュリティヘッダーを設定します。

PHPはまだ広く使用されており、強力ですが、適切に処理されないと攻撃の頻繁なターゲットでもあります。 PHPアプリケーションを保護するための鍵は、最も一般的なWebの脆弱性を理解し、それらを防ぐための積極的な措置を講じることにあります。

1.準備されたステートメントを使用したSQL注入を防ぎます

PHPアプリの最大のリスクの1つはSQLインジェクションで、攻撃者が入力フィールドを介して悪意のあるSQLコードを注入します。

これを保護するため：

• ユーザー入力をクエリに連結する代わりに、PDOまたはMySqliを使用して準備したステートメントを常に使用してください。
• mysql_query()のような非推奨機能を使用しないでください - 準備されたステートメントをサポートせず、安全ではありません。

例：

 $ stmt = $ pdo-> prepare（ 'select * from users where id =？'）;
$ stmt-> execute（[$ userid]）;
$ user = $ stmt-> fetch（）;

これにより、ユーザー入力が実行可能なコードではなくデータとして扱われることが保証されます。

2。ユーザー入力を消毒および検証します

すべてのユーザー入力が悪であるわけではありませんが、デフォルトで安全として扱うことは間違いです。

これがあなたができることです：

• filter_var()を使用して、電子メール、URLなどを検証します。
• 特にHTML、JS、またはURLに出力する場合、それらを使用または表示する前に入力を消毒します。

例えば：

 $ email = filter_var（$ _ post ['email']、filter_validate_email）;
$ safe_html = htmlspecialchars（$ _ post ['user_input']、ent_quotes、 'utf-8'）;

ここのいくつかの追加の行は、XSS（クロスサイトスクリプト）やその他の注入ベースの攻撃を停止できます。

また、攻撃者が予期しない値を送信しようとすると常に仮定します。そのため、フロントエンドの検証がある場合でも、バックエンドで検証します。

3。クロスサイトのリクエスト偽造（CSRF）から保護する

CSRFは、ユーザーがログインしているサイトにフォームまたはリクエストを不明に送信し、多くの場合、意図しないアクションにつながる場合に発生します。

防御方法：

• Anti-CSRFトークンを使用します - セッションごとに一意のトークンを生成するか、リクエストしてフォームの提出で確認します。
• トークンをセッションに保管し、非表示のフォームフィールドに含めます。
• 追加のチェックなしで認証のためだけにCookieだけに依存しないでください。

それは余分な作業(yè)のように思えるかもしれませんが、CSRF保護は、狀態(tài)を変える行動にとっては殘酷です（設定の更新や支払いをするなど）。

4.セッションを安全に保ちます

セッションのハイジャックまたは固定により、攻撃者はユーザーのアカウントに完全にアクセスできます。

セッションセキュリティを改善するためのヒント：

• セッションが必要なすべてのスクリプトの先頭にsession_start()を呼び出します。
• session_regenerate_id(true)を使用してログイン後にセッションIDを再生します。
• 安全なセッションCookieオプションを設定します。

   session_set_cookie_params（[[
    'lifetime' => 0、
    'path' => '/'、
    「ドメイン」=> ''、
    'secure' => true、// httpsのみを送信します
    'httponly' => true、// javascriptアクセスを防止します
    「samesite '=>' Strict '
  ]）;

これらの設定は、セッションの盜難やXSS関連の問題から保護するのに役立ちます。

5。HTTPSを使用してヘッダーをセキュアします

アプリがHTTPSを使用していない場合、セキュリティのために行う他のすべては弱體化します。

加えて：

• Content-Security-Policy 、 X-Content-Type-Options 、 X-Frame-OptionsなどのHTTPセキュリティヘッダーを設定します。
• これらのヘッダーは、コンテンツを処理する際の動作方法をブラウザに伝え、XSSとクリックジャックの影響を減らします。

このようにPHPに設定できます。

ヘッダー（ "X-Content-Type-Options：nosniff"）;
ヘッダー（ "x-frame-options：deny"）;
ヘッダー（ "Content-Security-Policy：default-src 'self'"）;

または、通常はクリーンなサーバー構成（Apacheまたはnginxなど）で直接構成します。

それは基本的にそれです。 PHPアプリを保護することは魔法を必要としません。ただの堅実な習慣と細部への注意だけです。一部の保護は最新のフレームワークに組み込まれていますが、フードの下で何が起こっているかを知ることは大きな違いをもたらします。

以上が一般的なWebの脆弱性に対してPHPアプリケーションを保護するにはどうすればよいですか？の詳細內容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。