Deutsch
Deutsch
Einführung:
PHP ist eine weit verbreitete serverseitige Skriptsprache, die eine leistungsstarke Funktionalität und Flexibilität für die Entwicklung dynamischer Websites bietet. PHP hat jedoch auch einige Sicherheitsherausforderungen für Benutzerfreundlichkeit und Flexibilität. In diesem Artikel werden mehrere gängige Schwachstellen für PHP -Sicherheit eingehalten und den Entwicklern helfen, den Schutz gegen diese Schwachstellen durch Beispielcode zu stärken.
SQL -Injektionsangriffe sind eine der häufigsten Sicherheitslücken. Angreifer können nicht autorisierte Operationen in der Datenbank ausführen, indem sie SQL -Anweisungen böswillig injizieren. Um die SQL -Injektion zu verhindern, wird empfohlen, vorverarbeitete Anweisungen und Parameterbindung zu verwenden. Hier ist der Beispielcode:
<?php
// Holen Sie sich Benutzername und Passwort von der Benutzereingabe
$username = $_POST['username'];
$password = $_POST['password'];
// Stellen Sie eine Verbindung zur Datenbank her
$db = new PDO('mysql:host=localhost;dbname=mydb', 'username', 'password');
// Verwenden Sie Vorverarbeitungsanweisungen und Parameterbindungen zur Ausführung SQL Abfrage
$stmt = $db-> PREVET ('' SELECT * von Benutzern, wobei Benutzername =: Benutzername und Passwort =: Passwort ');
$ stmt-> bindValue (': userername', $ userername);
$ stmt-> bindValue (': password', $ password);
$ stmt-> execute ();
// das Abfrageergebnis $ user = $ stmt-> fetch () erhalten;
// Wenn das Abfrageergebnis leer ist, bedeutet dies, dass der Benutzername oder das Passwort falsch ist, wenn (! $ User) {
echo "Ungültiger Benutzername oder Passwort";
} anders {
Echo "Willkommen". $ user ['Benutzername']. "!";
}
?>
XSS (Cross-Site-Skriptangriff) ist eine weitere häufige Sicherheitsanfälligkeit, bei der Angreifer sensible Informationen von Benutzern stehlen können, indem sie böswillige Skripte injizieren. Ein effektiver Weg, um XSS -Angriffe zu verhindern, besteht darin, dem Spezialcharakter der Benutzereingabe in HTML zu entkommen. Hier ist der Beispielcode:
<?php
// Holen Sie sich Kommentarinhalte von den Benutzereingaben
$comment = $_POST['comment'];
// Kommentarinhalte durchführen HTML Spezielle Flucht
$escapedComment = htmlspecialchars($comment);
// Speichern Sie Kommentare in die Datenbank
$db-> Abfrage ("in Kommentare (Inhalt) Werte ('$ entleaderCompment')") ");
?>
Durch die Verwundbarkeit des Datei -Uploads kann ein Angreifer beliebiger Code auf dem Server ausführen, indem böswillige Dateien hochgeladen werden. Um Schwachstellen des Datei hochzuladen, müssen der Typ und die Größe der Datei begrenzt sein. Hier ist ein Beispielcode, der zeigt, wie Sie den Typ und die Größe von hochgeladenen Dateien einschränken:
<?php
// Erhalten Sie relevante Informationen aus hochgeladenen Dateien
$fileName = $_FILES['file']['name'];
$fileSize = $_FILES['file']['size'];
$fileTmp = $_FILES['file']['tmp_name'];
$fileError = $_FILES['file']['error'];
// Dateityp und -größe überprüfen
$fileExt = pathinfo($fileName, PATHINFO_EXTENSION);
$allowedTypes = array('jpg', 'jpeg', 'png');
$maxSize = 1000000; // 1MB
if (!in_array($fileExt, $allowedTypes) || $fileSize > $ maxSize) {
echo "ungültiger Dateityp oder Größe";
} anders {
// Speichern Sie die Datei in dem angegebenen Verzeichnis move_Uploaded_file ($ fileTMP, 'Uploads/'. $ Dateiname);
echo "Datei erfolgreich hochgeladen";
}
?>
PHP -Sicherheit ist für Entwickler von entscheidender Bedeutung. Durch die korrekten Messungen der Fehlerbehandlung und -schutz können wir die gängigen Sicherheitslücken effektiv reduzieren. Beispielsweise verhindern die Verwendung vorverarbeiteter Anweisungen und Parameterbindungen die SQL -Injektion, die Verwendung von HTML -Spezialcharakter -Flüchtlingen kann vor XSS -Angriffen schützen, und die Begrenzung von Dateityp und -größe kann das Hochladen von Dateien verhindern. Nur wenn wir wachsam bleiben und geeignete Sicherheitsmaßnahmen ergreifen, können wir die Daten von Anwendungen und Benutzern effektiv schützen.
