Deutsch
Deutsch
Bei der Webentwicklung ist der Umgang mit Benutzereingaben ein entscheidender Schritt zur Gewährleistung der Anwendungssicherheit und Datengenauigkeit. Unverarbeitete Eingaben können zu Cross-Site-Scripting-Angriffen (XSS), SQL-Injection und anderen Sicherheitsproblemen führen. PHP8 bietet Entwicklern einen umfassenderen Sanitize Filters-Mechanismus, um Benutzereingabedaten bequem zu filtern und zu bereinigen.
Sanitize-Filter sind der in PHP integrierte Filtermechanismus, der zum Bereinigen illegaler oder potenziell gefährlicher Inhalte verwendet wird, die möglicherweise in Eingabedaten vorhanden sind. Durch verschiedene Filtertypen können Entwickler HTML-Tags entfernen, Sonderzeichen maskieren, Formatierungen korrigieren usw., um die Ausführung von Schadcode in Benutzereingaben zu verhindern.
Zu den gängigen Filtertypen gehören:
filter_var() ist eine der am häufigsten verwendeten Filterfunktionen und dient der Verarbeitung einer einzelnen Variablen:
$input = $_POST['username'];
$sanitized_input = filter_var($input, FILTER_SANITIZE_STRING);
In diesem Beispiel wird der Eingabewert „Benutzername“ aus „$_POST“ übernommen und der Filter „FILTER_SANITIZE_STRING“ verwendet, um potenzielle HTML-Tags und Sonderzeichen zu entfernen.
Wenn Sie Eingaben aus globalen Variablen wie GET , POST oder COOKIE direkt filtern möchten, können Sie die Funktion filter_input() verwenden:
$sanitized_input = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
Diese Methode ist präziser und sicherer, vermeidet den direkten Zugriff auf das globale Array und trägt dazu bei, das Risiko einer Datenverschmutzung zu verringern.
Wenn Sie mehrere Eingabevariablen gleichzeitig verarbeiten müssen, können Sie die Funktion filter_var_array() verwenden:
$input = array(
'username' => $_POST['username'],
'password' => $_POST['password']
);
$filters = array(
'username' => FILTER_SANITIZE_STRING,
'password' => FILTER_SANITIZE_STRING
);
$sanitized_input = filter_var_array($input, $filters);
Mit dieser Methode können Sie ein Array von Filterregeln definieren, eine Stapelverarbeitung für mehrere Variablen durchführen und ein bereinigtes Array zurückgeben, um die anschließende Überprüfung und logische Beurteilung zu erleichtern.
Das folgende Beispiel zeigt ein einfaches Formular, das Sanitize-Filter verwendet, um Benutzernamen und Passwörter nach der Übermittlung zu filtern:
<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$input = array(
'username' => $_POST['username'],
'password' => $_POST['password']
);
$filters = array(
'username' => FILTER_SANITIZE_STRING,
'password' => FILTER_SANITIZE_STRING
);
$sanitized_input = filter_var_array($input, $filters);
echo "Benutzername:" . $sanitized_input['username'] . "<br>";
echo "Passwort:" . $sanitized_input['password'] . "<br>";
}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<label>Benutzername:</label>
<input type="text" name="username"><br>
<label>Passwort:</label>
<input type="password" name="password"><br>
<input type="submit" value="einreichen">
</form>
In diesem Beispiel bereinigt das PHP-Skript beim Absenden des Formulars die Eingabedaten über filter_var_array() und gibt dann die gefilterten Ergebnisse aus.
Die Verwendung von Sanitize-Filtern in PHP8 kann die Anwendungssicherheit und Datenzuverlässigkeit erheblich verbessern. Durch die richtige Auswahl von Filtern und deren Kombination mit Überprüfungsmechanismen können Entwickler häufige Angriffsrisiken wie XSS und SQL-Injection effektiv vermeiden. Im Webentwicklungsprozess sind das Filtern und Validieren aller externen Eingaben Grundprinzipien für den Aufbau sicherer Systeme.
