Français
Français
En tant que langage de script côté serveur couramment utilisé, PHP est largement utilisé dans le développement et l'application de la technologie Internet. Bien que PHP soit flexible et facile à utiliser, il peut également présenter certains risques de sécurité. Cet article se concentrera sur la façon de gérer les erreurs de sécurité PHP et de générer des rapports d'erreur connexes pour améliorer la sécurité des applications.
Les données saisies par les utilisateurs sont souvent la source de problèmes de sécurité, tels que l'injection SQL, les attaques de scripts inter-sites (XSS), etc. Afin d'éviter de tels risques de sécurité, nous devons améliorer la sécurité en filtrant et en vérifiant strictement la saisie des utilisateurs.
L'injection SQL est l'une des méthodes d'attaque les plus courantes, où les attaquants exploitent des bases de données en injectant le code SQL malveillant. Pour éviter de telles attaques, la fonction `mysqli_real_escape_string ()` en PHP peut être utilisée pour filtrer l'entrée de l'utilisateur.
<?php
// Connectez-vous à la base de données
$conn = mysqli_connect("localhost", "root", "password", "dbname");
<p>// Filtrez la saisie de l'utilisateur<br>
$ username = mysqli_real_escape_string ($ Conn, $ _post ['username']);<br>
$ mot de passe = mysqli_real_escape_string ($ Conn, $ _post ['mot de passe']);</p>
<p>// Exécuter l'instruction de requête SQL<br>
$ SQL = "SELECT * FROM Users Where Username = '$ username' et mot de passe = '$ mot de passe'";<br>
$ result = mysqli_query ($ Conn, $ sql);<br>
?><br>
L'attaque de script de site croisée (XSS) fait référence à un attaquant insérant des scripts malveillants via une page Web, en volant ainsi des informations utilisateur ou en effectuant d'autres opérations malveillantes. Pour empêcher les attaques XSS, vous pouvez utiliser la fonction `htmlSpecialChars ()` en PHP pour filtrer les données saisies par l'utilisateur.
<?php // Filtre Entrée de l'utilisateur $username = htmlspecialchars($_POST['username']); $password = htmlspecialchars($_POST['password']); ?>
PHP fournit une variété de façons de générer des rapports d'erreur et des enregistrements de journal, ce qui aide les développeurs à découvrir et à gérer les erreurs de sécurité potentielles en temps opportun.
Dans un environnement de développement PHP, vous pouvez activer les rapports d'erreur en modifiant le fichier `php.ini`. Voici des exemples de configuration courants:
error_reportage = e_all display_errors = on
De cette façon, tous les types de messages d'erreur (y compris les erreurs fatales, les avertissements et les invites) seront affichés sur la page.
Dans les environnements de production, pour améliorer la sécurité et réduire les risques potentiels, nous définissons généralement le rapport d'erreur pour afficher uniquement les erreurs mortelles et enregistrer d'autres erreurs dans le fichier journal:
error_reportage = e_all & ~ e_deprecated & ~ e_notice display_errors = off
Afin de mieux suivre et gérer les erreurs, les journaux d'erreur PHP peuvent être connectés au fichier spécifié. Modifiez le fichier `php.ini` comme suit:
log_errors = sur error_log = /path/to/error.log
La gestion des exceptions est un mécanisme de gestion des erreurs plus flexible et plus avancé. En utilisant le bloc d'essai, nous pouvons capturer et gérer efficacement les erreurs, évitant ainsi l'exposition d'informations sensibles et la prise de mesures de sécurité appropriées.
<?php
try {
// Un code qui peut lancer des exceptions
} catch (Exception $e) {
// Code de gestion des exceptions
}
?>
La gestion des exceptions peut aider les développeurs à mieux contrôler les erreurs et à éviter que les informations sensibles soient exposées aux attaquants, et peuvent également afficher des invites d'erreur plus amicales aux utilisateurs.
En filtrant efficacement l'entrée des utilisateurs, en permettant aux rapports d'erreurs et à la journalisation, et en utilisant des méthodes de traitement des exceptions, les développeurs peuvent améliorer considérablement la sécurité des applications PHP et prévenir les risques de sécurité potentiels tels que l'injection SQL et les attaques XSS. La maîtrise de ces compétences de traitement des erreurs de sécurité est une compétence importante que les développeurs de PHP doivent posséder.
