လက်ရှိတည်နေရာ: ပင်မစာမျက်နှာ> နောက်ဆုံးရဆောင်းပါးများစာရင်း> PHP XSS တိုက်ခိုက်မှုကာကွယ်ရေးအတွက်အကောင်းဆုံးလမ်းညွှန်များနှင့်လက်တွေ့လမ်းညွှန်

PHP XSS တိုက်ခိုက်မှုကာကွယ်ရေးအတွက်အကောင်းဆုံးလမ်းညွှန်များနှင့်လက်တွေ့လမ်းညွှန်

M66 2025-11-01

PHP Cross-site scripting တိုက်ခိုက်မှုများနှင့်ဆက်ဆံရာတွင်အကောင်းဆုံးနည်းဗျူဟာများ

Cross-site scripting (XSS) သည်တိုက်ခိုက်သူအားအသုံးပြုသူ၏အားနည်းချက်တစ်ခုမှတဆင့်အသုံးပြုသူ browser တစ်ခုသို့အန္တရာယ်ရှိသော script ကိုထိုးသွင်းရန်ခွင့်ပြုသည့်တိုက်ခိုက်မှုတစ်ခုဖြစ်သည်။ အသုံးပြုသူ inputling ကိုကျယ်ကျယ်ပြန့်ပြန့်အသုံးပြုခြင်းကြောင့် PHP application များသည်ဤတိုက်ခိုက်မှုအမျိုးအစားကိုအားနည်းနေသည်။

PHP တွင် XSS တိုက်ခိုက်မှုများကိုထိရောက်သောကာကွယ်မှုသည်အလွှာပေါင်းစုံလုံခြုံရေးအစီအမံများလိုအပ်သည်။ အောက်ဖော်ပြပါများသည်အဓိကအလေ့အကျင့်များဖြစ်သည်။

input validation

အသုံးပြုသူထည့်သွင်းမှုအားလုံး၏တင်းကြပ်စွာအတည်ပြုချက်သည် XSS တိုက်ခိုက်မှုများကိုကာကွယ်ရန်ပထမခြေလှမ်းဖြစ်သည်။ Filter_var () နှင့် htmlspecialchars () filter_var () htmlspecialchars () filter_var () filter_) filter ကိုသုံးနိုင်သည်။

encoded output ကို

browser တွင်ကွပ်မျက်ခြင်းမှကာကွယ်ရန်ကုဒ်များကိုကာကွယ်ရန်သုံးစွဲသူမှအကြောင်းအရာကိုအသုံးပြုသူအားအကြောင်းအရာကိုမဖော်ပြမီ encoding လုပ်သင့်သည်။ PHP သည် htmlenties () function ကိုအပြည့်အဝထုတ်လွှင့်ရန် function ကိုထောက်ပံ့ပေးသည်။

အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP)

အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP) သည် HTTP ခေါင်းစီးများမှတဆင့် 0 င်ရောက်နိုင်သည့်အရင်းအမြစ်များအရင်းအမြစ်များကိုသတ်မှတ်သည်။ အကြောင်းအရာ - လုံခြုံရေးမူဝါဒ header ကိုသင်၏လျှောက်လွှာထဲသို့ထည့်ခြင်းအားဖြင့်ပြင်ပ scripts နှင့် style sheets များတင်ခြင်းကိုကန့်သတ်နိုင်သည်။

လက်တွေ့ကိစ္စများ

အသုံးပြုသူ input ကိုအတည်ပြုရန်နှင့် encode လုပ်ရန် HTMLSPECALCHAR () ကို မည်သို့အသုံးပြုရမည်ကိုပြသသည့် PHP Code သည်ဤတွင်ဖော်ပြထားသည်။ 

<?php
// အသုံးပြုသူ input ကိုရယူပါ
$user_input = $_GET['input'];

// အသုံးပြုသူ input ကို validate
$filtered_input = filter_var($user_input, FILTER_SANITIZE_STRING);

// အသုံးပြုသူ input ကို encode
$encoded_input = htmlspecialchars($filtered_input);

// တည်နေ HTML output အတွက် encoded input ကိုပြပါ
echo "<p> သင့်ရဲ့ input ကို: $ encoded_input ကိုဖြစ်ပါတယ်</p> ";
>

ဤဥပမာတွင်အသုံးပြုသူ input ကို filter_var () ကို filter_var () ကိုရိုက်ကူးပြီး htmlspecialchars () ကိုအသုံးပြုခြင်းအားဖြင့် browser တွင်အန္တရာယ်ရှိသောကုဒ်ကိုတားဆီးရန်တားဆီးရန် htmlspecialchars () ကိုအသုံးပြုသည်။

နိဂုံးချုပ်အားဖြင့်

ဤလုံခြုံရေးအစီအမံများကိုရယူခြင်းဖြင့် PHP application များသည် XSS တိုက်ခိုက်မှုများ၏အန္တရာယ်ကိုထိရောက်စွာလျှော့ချနိုင်သည်။ CSP ကိုအတည်ပြုခြင်း, encoding output ကိုအတည်ပြုခြင်းနှင့် CSP တို့ကလုံခြုံပြီးတည်ငြိမ်သော 0 က်ဘ်အပလီကေးရှင်းများတည်ဆောက်ရန်အတွက်အဓိကမဟာဗျူဟာများဖြစ်သည်။

ဆက်စပ်အကြောင်းအရာ
မကြာသေးမီ ဆောင်းပါးများ