永远不要信任外部输入，不要相信任何来自不受自己直接控制的数据源中的数据。实际开发中，总有人有意或无意的把危险数据注入PHP代码中，因此PHP安全编程变得和重要，一般我们处理外部输入安全思路是：过滤输入、验证数据。

过滤输入

过滤输入是指将来自外部数据中不安全的字符转义或删除。

外部输入可以是任何东西：$_GET 和 $_POST 等表单输入数据，$_SERVER 超全局变量中的某些值，还有通过 fopen(\'php://input\', \'r\') 得到的 HTTP 请求体。记住，外部输入的定义并不局限于用户通过表单提交的数据。上传和下载的文档，session 值，cookie 数据，还有来自第三方 web 服务的数据，这些都是外部输入。

在数据到达存储层（MySQL或Redis）前一定要过滤输入的数据，这是第一道防线。

假如有人在评论框中输入以下内容并提交：

很显然，这里加了恶意的\';  echo htmlentities($input, ENT_QUOTES, \'utf-8\');

２、如果需要传入能够在命令行中执行的选项，调用exec()等函数时要格外小心。你可以使用自带的 escapeshellarg()函数来过滤执行命令的参数。

３、通过输入数据拼接构建的SQL查询语句，一定要注意使用PDO预处理。PDO是PHP内置的数据库抽象层，使用一个接口表示多种数据库。PDO预处理语句是PDO提供的一个工具，用于过滤外部数据，然后把过滤后的数据嵌入SQL语句中，避免SQL注入。

４、当接收外部输入来从文件系统中加载文件。这可以通过将文件名修改为文件路径来进行利用。你需要过滤掉"/", "../", null 字符或者其他文件路径的字符来确保不会去加载隐藏、私有或者敏感的文件。

5、尽量不要使用正则表达式函数过滤HTML输入，如preg_replace()和preg_replace_all()，正则表达式很复杂，一不小心就掉坑里了，出错几率高。

验证数据

        与过滤输入不同，验证数据不会从输入数据中删除信息，而是只确认输入数据是否符合预期，比如输入的数据是否是Email邮箱、手机号码、数字等等。这种数据我们或叫做无效数据，我们验证这种无效数据，并阻止其进入数据存储层，并适当的提示用户错误的输入信息。

PHP的filter_var()和 filter_input()函数可以过滤文本并对格式进行验证。PHP提供了验证布尔值、Email、浮点数、整数、IP地址、MAC地址、正则表达式以及URL地址的标志，如以下代码是验证输入的邮箱是否正确：

$input = \'hello@example.com\'; 
$isEmail = filter_var($input, FILTER_VALIDATE_EMAIL); 
if ($isEmail !== false) { 
    echo \'验证结果：成功\'; 
} else { 
    echo \'验证结果：失败\'; 
}

我们需要特别注意filter_var()函数的返回值，如果验证成功，返回的是要验证的值，如果验证失败，则返回false。

附PHPfilter_var()函数的验证标志：

FILTER_VALIDATE_BOOLEAN：　布尔值
FILTER_VALIDATE_EMAIL：　Email
FILTER_VALIDATE_FLOAT：　浮点数
FILTER_VALIDATE_INT：　整数
FILTER_VALIDATE_IP：　IP地址
FILTER_VALIDATE_MAC：　MAC地址
FILTER_VALIDATE_REGEXP：　正则表达式
FILTER_VALIDATE_URL：　URL地址

最后，说明下，黑客都是通过使用工具或非正常手段，绕过我们的前端验证，构建危险数据进行WEB渗透，所以我们代码开发时，尤其是后端开发，安全是我们的首要任务。

本文地址：https://www.stayed.cn/item/20

转载请注明出处。

本站部分内容来源于网络,如侵犯到您的权益,请 联系我