Workerman は、リアルタイム通信および高同時処理シナリオ向けの高性能 PHP 非同期ネットワーク プログラミング フレームワークです。セキュリティ保護はアプリケーション設(shè)計の重要な部分であり、Workerman のセキュリティ保護の実裝方法には主に次のようなものがあります。以下では詳細(xì)を紹介し、コード例を示します。

1. SQL インジェクションの防止

SQL インジェクションとは、攻撃者がデータベース上で不正な操作を?qū)g行したり、機密情報を取得したりするために、悪意のある SQL コードをアプリケーションに挿入することを意味します。 Workerman では、PDO プリペアド ステートメントを使用して SQL インジェクション攻撃を防ぐことができます。つまり、プログラム內(nèi)で ? プレースホルダを使用して、動的に結(jié)合された SQL ステートメント內(nèi)のパラメータを置き換えます。

以下は、PDO プリペアド ステートメントを使用したサンプル コードです:

<?php
    //連接數(shù)據(jù)庫
    $dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
    //準(zhǔn)備SQL語句，使用?作為占位符
    $stmt = $dbh->prepare('SELECT * FROM user WHERE username = ? AND password = ?');
    //執(zhí)行SQL語句，傳入?yún)?shù)數(shù)組
    $stmt->execute(array($username, $password));
    //遍歷結(jié)果集
    while ($row = $stmt->fetch()) {
        //處理數(shù)據(jù)
    }
?>

2. XSS 攻撃の防止

悪意のあるスクリプト コードをシステムに挿入して、盜んだり改ざんしたりします。ユーザーの機密情報を扱います。 Workerman では、htmlentities() 関數(shù)を使用して、ユーザーが入力したすべての特殊文字を HTML エンティティにエスケープし、悪意のあるスクリプト コードの実行を防ぐことができます。

以下は、htmlentities() 関數(shù)を使用したサンプル コードです。

<?php
    function safe_echo($text) {
        return htmlentities($text, ENT_QUOTES, 'UTF-8');
    }
    //輸出用戶輸入的內(nèi)容
    echo "Your comment: " . safe_echo($_POST['comment']);
?>

3. CSRF 攻撃の防止

CSRF 攻撃は、攻撃者がユーザーを悪用するときに発生します。ブラウジング サーバーの認(rèn)証メカニズムを使用して悪意のあるリクエストをアプリケーションに送信し、ユーザーの ID になりすまして違法な操作を?qū)g行します。 Workerman では、トークン検証を使用して CSRF 攻撃を防ぐことができます。つまり、ランダムに生成されたトークンが各フォームに追加されるため、フォームを送信するときにトークンが正しいかどうかを確認(rèn)する必要があります。トークンが正しくない場合、リクエストは拒否されます。

次はトークン検証を使用したサンプル コードです:

<?php
    session_start();
    //生成隨機token
    $token = md5(rand());
    //將token保存到session中
    $_SESSION['token'] = $token;
    //在表單中添加token
    echo '<form method="post" action="submit.php">';
    echo '<input type="hidden" name="token" value="' . $safe_token . '" />';
    //其他表單控件
    echo '</form>';
    //處理表單提交
    if ($_SERVER['REQUEST_METHOD'] === 'POST') {
        //驗證token是否正確
        if ($_POST['token'] !== $_SESSION['token']) {
            //token不正確，拒絕請求
            die('Invalid token');
        }
        //其他表單數(shù)據(jù)處理
    }
?>

上記は、Workerman ドキュメント內(nèi)のセキュリティ保護の実裝方法とコード例の紹介です。開発者がより適切に保護できるようになれば幸いです。アプリケーションのセキュリティです。

以上がWorkerman ドキュメントにおけるセキュリティ保護の実裝方法の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。