Français
Français
Avec le développement rapide de la technologie Internet, de plus en plus de sites Web doivent traiter et collecter des données utilisateur. En tant qu'outil important pour que les utilisateurs interagissent avec le site Web, les formulaires sont responsables de nombreuses fonctions telles que la soumission d'informations, l'enregistrement et la connexion. Cependant, en raison de la sensibilisation à la sécurité insuffisante, de nombreux sites Web ont des vulnérabilités dans le traitement des données de formulaires soumises par les utilisateurs, laissant les opportunités pour les pirates de profiter. Cet article analysera les malentendus courants sur la sécurité des formulaires PHP et fournira des précautions et des exemples de code spécifiques pour aider les développeurs à améliorer la sécurité des formulaires.
1. Faites confiance aux données du client
De nombreux développeurs ont un malentendu: ils comptent trop sur les données soumises par le client et croient qu'elle est digne de confiance. En fait, les pirates peuvent facilement altérer les données de formulaire via des outils de développeur de navigateur, ou même modifier directement le contenu des champs cachés. Par conséquent, les données du client ne peuvent pas être considérées comme une vérification fiable et valide côté serveur doivent être effectuées.
2. Ignorer le filtrage et échapper à l'entrée de l'utilisateur
Les entrées utilisateur non filtrées et échappées présentent des risques de sécurité à la page Web. En particulier pour les attaques XSS, les pirates peuvent insérer du code JavaScript malveillant dans des boîtes d'entrée de formulaire, ce qui entraîne l'exécution de scripts et les violations de données. Par conséquent, lors de la sortie des données sur une page Web, des fonctions de filtrage et d'échappement appropriées sont nécessaires.
1. Utilisez la méthode HTTP Post
Par rapport à la méthode GET, la méthode post peut éviter d'exposer des données sensibles à l'URL, augmentant ainsi la sécurité du processus de soumission de formulaire.
2. Vérification côté serveur
Bien que la vérification frontale puisse améliorer l'expérience utilisateur, la véritable vérification de sécurité doit être effectuée du côté du serveur. PHP fournit une variété de fonctions de vérification et d'expressions régulières pour aider les développeurs à vérifier strictement les données de formulaire. Voici un exemple simple de code:
if (isset ($ _ post ['username'])) {
$ username = $ _post ['username'];
// Effectuer la vérification côté serveur if (strlen ($ username) <4) {
Echo "La longueur du nom d'utilisateur ne peut pas être inférieur à 4 caractères";
} elseif (! preg_match ("/ ^ [a-za-z0-9 _] + $ /", $ username)) {
Echo "Les noms d'utilisateur ne peuvent contenir que des lettres, des chiffres et des soulignements";
} autre {
// La vérification est transmise et les opérations ultérieures peuvent être effectuées}
}
3. Filtre et échapper à l'entrée de l'utilisateur
Afin d'empêcher les attaques XSS, le contenu entré par l'utilisateur doit être échappé. La fonction `htmlSpecialCars ()` dans PHP peut être utilisée pour traiter en toute sécurité les données soumises par les utilisateurs. Les exemples sont les suivants:
if (isset ($ _ post ['contenu'])) {
$ content = $ _post ['contenu'];
// Utilisez la fonction HTMLSpecialChars pour échapper à la saisie de l'utilisateur $ contenu = htmlSpecialCars ($ contenu, ent_quotes, 'utf-8');
// Contenu filtré de sortie Echo $ Contenu;
}
4. Empêcher l'injection SQL
Les attaques d'injection SQL obtiennent des informations sur la base de données en construisant des instructions SQL malveillantes, de sorte que des instructions de prétraitement ou des requêtes paramétrées doivent être utilisées pour assurer la sécurité des instructions SQL. Voici un exemple d'utilisation de la déclaration de prétraitement de PDO pour empêcher l'injection SQL:
if (isset ($ _ poster ['id'])) {
$ id = $ _post ['id'];
// Utilisez l'instruction PDO PRÉCROSSING $ stmt = $ PDO-> Préparer ("SELECT * FROM Users Where id =?");
$ stmt-> exécuter ([$ id]);
// traite le résultat de la requête $ result = $ stmt-> fetch (pDo :: fetch_assoc);
}
La sécurité du formulaire est un problème auquel chaque développeur PHP devrait prêter attention. En évitant les malentendus courants ci-dessus et en prenant des mesures de sécurité efficaces, nous pouvons considérablement améliorer la sécurité du site Web et protéger les données des utilisateurs contre les attaques malveillantes. Grâce à une vérification raisonnable du côté serveur, au filtrage des entrées, au traitement d'évasion et à la technologie anti-injection SQL, nous pouvons assurer la sécurité de l'interaction du formulaire et fournir aux utilisateurs des services plus fiables.
