Web サイトの人気に伴い、ユーザーと対話するために、通常は HTML フォームを使用してユーザー データを収集します。 HTML フォームは、ユーザー名、電子メール アドレス、パスワードなどの機密情報を収集する可能性があります。したがって、これらのフォームのデータを保護することは、Web サイトを設計するときに考慮すべき重要な要素となります。

PHP は、動的 Web サイトの開発に使用される一般的な言語です。 HTML フォーム データも処理できますが、フォーム処理スクリプトが安全でない PHP コードを使用して誤って作成された場合、攻撃者はログイン資格情報 (ユーザー名やパスワードなど) を含む、ユーザーが指定した機密情報を簡単に入手できます。フォームデータを安全に保つには、コードが安全であることを確認する必要があります。

この記事では、PHP フォームのセキュリティ戦略、特に共有ホスティング環(huán)境 (共有ホスティング) を使用する場合に講じる必要がある対策について説明します。

1. 事前定義されたスーパーグローバル変數 $_POST、$_GET、$_REQUEST を使用する

フォームからデータを抽出する場合は、事前定義されたスーパーグローバル変數 $ _POST および $_REQUEST を使用するのが最善です。デフォルトのスーパーグローバル変數 $_REQUEST から直接データを取得する代わりに、$_GET を使用します。 $_REQUEST には GET または POST リクエストの変數が含まれているためです。 $_POST と $_GET には、POST リクエストと GET リクエストからの変數のみが含まれます。

フォーム データを抽出して変數に保存したら、悪意のある攻撃者がフォーム データに不正な文字を挿入できないように、htmlspecialchars() や htmlentities() などの関數を使用して特殊文字をエスケープしてください。腳本。

<?php
// 從表單中獲取變量
$username = $_POST['username'];
$password = $_POST['password'];

// 轉義特殊字符
$username = htmlspecialchars($username, ENT_QUOTES, 'UTF-8');
$password = htmlspecialchars($password, ENT_QUOTES, 'UTF-8');
?>

2. フォーム データの検証

すべてのフォーム データ、特にユーザー名やユーザー名などのユーザーから提供された機密情報を必ず検証してください。パスワード。ユーザー入力を検証しない場合、アプリケーションは SQL インジェクションや XSS 攻撃などのセキュリティの脅威に対して脆弱になる可能性があります。

PHP では、正規(guī)表現、フィルター、事前定義関數を使用して、フォーム データが有効であることを確認できます。たとえば、preg_match() 関數を使用すると、文字列が指定された正規(guī)表現パターンと一致するかどうかを検証できます。

<?php
// 從表單中獲取變量
$email = $_POST['email'];

// 驗證電子郵件地址是否有效
if (filter_var($email, FILTER_VALIDATE_EMAIL) === false) {
    echo "電子郵件無效";
    exit;
}
?>

3. クロスサイト スクリプティング攻撃 (XSS) の防止

XSS 攻撃とは、攻撃者が悪意のあるスクリプトを挿入してユーザー データを盜むことを指します。実行可能スクリプトは、侵害されたサイトから取得されるか、攻撃者によってフォームに直接挿入される可能性があります。

PHP では、htmlspecialchars() 関數または htmlentities() 関數を使用して、フォーム データ內の HTML、CSS、および JavaScript 文字をエスケープできます。これにより、攻撃者による違法な JavaScript コードの挿入が防止され、XSS 攻撃のリスクが軽減されます。

<?php
// 從表單中獲取變量
$name = $_POST['name'];

// 轉義HTML、CSS、和JavaScript字符
$name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8');
?>

4. SQL インジェクション攻撃の防止

SQL インジェクション攻撃とは、攻撃者が SQL 構文機能を悪用し、悪意のある SQL ステートメントを挿入することを指します。これらのステートメントにより、攻撃者がデータベースに直接アクセスして操作できる可能性があります。 SQL インジェクション攻撃を回避するには、フォームから抽出されたすべてのデータがフィルタリングされ、検証されていることを確認する必要があります。

PDO や MySQLi などの PHP 拡張機能によって提供されるプリペアド ステートメントを使用して、SQL クエリと操作を実行します。これにより、攻撃者が悪意のある SQL コードをアプリケーションに挿入するのを防ぐことができます。

<?php
// 執(zhí)行SQL查詢
$stmt = $db->prepare("SELECT * FROM users WHERE username=:username AND password=:password");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

// 獲取查詢結果
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
?>

5. HTTPS プロトコルを使用する

HTTPS は、Web サイトとユーザーの間に暗號化された接続を確立する安全なトランスポート プロトコルです。これにより、悪意のある盜聴者が送信データを傍受し、ユーザー入力データや機密情報 (ユーザー名やパスワードなど) を取得することを効果的に防止できます。共有ホスティング環(huán)境で HTTPS プロトコルを使用するには、追加料金を支払って TLS/SSL 証明書を購入する必要があります。

概要

PHP フォーム データを保護する最善の方法は、コードが安全であることを確認し、上記のセキュリティ戦略に従うことです。共有ホスティングを使用する場合は、事前定義されたスーパーグローバル変數の使用、フォーム データの検証、文字のエスケープ、XSS および SQL インジェクション攻撃の防止、HTTPS プロトコルの使用など、Web サイトを保護するためのセキュリティ対策を講じる必要があります。 Web サイトにインタラクティブなアクションが含まれる場合、フォーム データの保護は絶対に必要です。

以上がPHP によるセキュリティ戦略の形成: 共有ホスティングでのセキュリティ対策を使用するの詳細內容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。