PHP Security Security Analysis: ဆေးထိုးခြင်းကာကွယ်ရန်အကောင်းဆုံးအလေ့အကျင့်များ, XSS နှင့် CSRF တိုက်ခိုက်မှုများ

PHP Security Security Analysis: ဆေးထိုးခြင်းကာကွယ်ရန်အကောင်းဆုံးအလေ့အကျင့်များ, XSS နှင့် CSRF တိုက်ခိုက်မှုများ

ခေတ်သစ်ဝက်ဘ်ဆိုက်ဖွံ့ဖြိုးတိုးတက်မှုတွင်ကျွန်ုပ်တို့သည်ဆာဗာများနှင့်သုံးစွဲသူအပြန်အလှန်ဆက်သွယ်မှု၏အဓိကအစိတ်အပိုင်းဖြစ်သည်။ ၎င်းသည်အသုံးပြုသူ 0 င်ရောက်ခြင်း, မှတ်ပုံတင်ခြင်း, မှတ်ပုံတင်ခြင်း, တင်သွင်းခြင်း, တင်သွင်းခြင်း, သို့သော်ပုံစံများ၏လုံခြုံရေးသည်မကြာခဏဆိုသလိုလျစ်လျူရှုထားသည့်ဖွံ့ဖြိုးတိုးတက်မှု၏အစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ အသုံးပြုသူများသည်ဆေးထိုးတိုက်ခိုက်မှုများ, ကွင်းပြင် site scripting တိုက်ခိုက်မှုများ (XSS) သို့မဟုတ် Cross-site တောင်းဆိုခြင်း (CSRF) တိုက်ခိုက်မှုများကိုပုံစံများဖြင့်ပြုလုပ်နိုင်သည်။ ထို့ကြောင့် PHP ပုံစံများ၏လုံခြုံရေးကိုသေချာစေရန်အလွန်အရေးကြီးသည်။

Php Php သည်အဘယ်ကြောင့်လုံခြုံရေးအတွက်အရေးပါသနည်း။

PHP Form Security သည်စနစ်၏လုံခြုံရေးအတွက်တိုက်ရိုက်ဆက်စပ်မှုရှိသည်။ အထူးသဖြင့်အောက်ပါတိုက်ခိုက်မှုနည်းလမ်းများမှာအသုံးအများဆုံးဖြစ်သည်။

1. ဆေးထိုးတိုက်ခိုက်မှုများကိုကာကွယ်ခြင်း ထို့ကြောင့် input ကို၏တရားဝင်မှုကိုသေချာစေရန်နှင့် input ကို filter လုပ်ရန်အလွန်အရေးကြီးသည်။
2. Cross-site scripting တိုက်ခိုက်မှုများကိုတားဆီးပါ။ XSS Attacks သည်အသုံးပြုသူများ၏အထိခိုက်မခံသောသတင်းအချက်အလက်များကိုအကောင့်စကားဝှက်များ, ကွတ်ကီးများစသည်တို့ကိုခိုးယူသည် သုံးစွဲသူထည့်သွင်းမှုများကိုထိရောက်စွာထွက်ပြေးလာခြင်းနှင့်စစ်ထုတ်ခြင်းတို့သည်ထိုကဲ့သို့သောတိုက်ခိုက်မှုများကိုကာကွယ်ရန်ထိရောက်သောနည်းလမ်းဖြစ်သည်။
3. CSRF တိုက်ခိုက်မှုများကိုတားဆီးပါ။ အသုံးပြုသူများအားတောင်းဆိုမှုများကိုတင်သွင်းရန်အသုံးပြုသူများကိုလုပ်ဆောင်ရန်အသုံးပြုသူများအားအသုံးပြုသူများကိုလုပ်ဆောင်ရန်အသုံးပြုသူများကိုအတင်းအကျပ်တောင်းဆိုရန်ခွင့်ပြုချက်အတုတိုက်ခိုက်မှုများကိုတားဆီးရန်အသုံးပြုသည်။ ထိုကဲ့သို့သောတိုက်ခိုက်မှုများကိုကာကွယ်ရန် CSRF Tokens ကိုပုံစံဖြင့်ထည့်သွင်းသင့်သည်။

PHP Form လုံခြုံရေးတိုးတက်စေရန်ဘုံအစီအမံများ

1 ။ အသုံးပြုသူ input ကို filter

ပထမ ဦး စွာကျွန်ုပ်တို့သည်တရားဝင်မှုကိုသေချာစေရန်သုံးစွဲသူ၏ input အချက်အလက်များကိုစစ်ထုတ်ရန်နှင့်စစ်ဆေးရန်လိုအပ်သည်။ PHP သည်စာတိုက်ပုံးများ, URLs များ, ကိန်းဂဏန်းများစသည့်ပုံစံများကိုစစ်ဆေးခြင်းကဲ့သို့သော filtering function များကိုပေးသည်။

  $ email = filter_input (input_post, 'email', filter_valka_email);
  လျှင် (! $ အီးမေးလ်) {
      ECHO "ကျေးဇူးပြု. မှန်ကန်သောအီးမေးလ်လိပ်စာထည့်ပါ။ ";
      ထွက်ပေါက်;
  }
  

2 ။ output ကို data မှလွတ်မြောက်ရန်

XSS တိုက်ခိုက်မှုများကိုကာကွယ်ရန်ကျွန်ုပ်တို့သည်အသုံးပြုသူမှထည့်သွင်းထားသောအကြောင်းအရာကိုမှလွတ်မြောက်ရန်လိုအပ်သည်။ PHP ၏ `htmlspecialchars ()` function ကို `function သည်အသုံးပြုသူမှကွပ်မျက်ခံရသောကုဒ်များကိုကာကွယ်ရန်အတွက် HTML အဖွဲ့အစည်းများအဖြစ်ပြောင်းလဲနိုင်သည်။ ဤတွင်လွတ်မြောက်ရန်ဥပမာတစ်ခုဖြစ်သည်။

  $ name = htmlspecialchars ($ _ post [အမည် '], ent_quotes,' utf-8 ';
  

3 ။ CSRF တိုကင်ထည့်ပါ

CSRF တိုက်ခိုက်မှုများအတွက်ကြိုတင်ကာကွယ်မှုတစ်ခုမှာ CSRF တိုကင်များကိုပုံစံသို့ထည့်ပြီးတင်သွင်းသည့်အခါတိုကင်များကိုစစ်ဆေးရန်ဖြစ်သည်။ ဤနည်းအားဖြင့်ပုံစံတောင်းဆိုမှုတစ်ခုစီကိုတရားဝင်အသုံးပြုသူမှစတင်ရန်သေချာသည်။ အောက်ပါတို့သည် CSRF Tokens ၏မျိုးဆက်နှင့်စိစစ်စစ်ဆေးမှုကိုမည်သို့အကောင်အထည်ဖော်ရန်ဖြစ်သည်။

  Session_Start ();
  IF ($ _server ['ayserver'] === 'post') {
      အကယ်. ($ _post [csrf_token ']! == $ _session [' csrf_token '])
          ECHO "CSRF တိုကင်အတည်ပြုချက်မအောင်မြင်ပါ။ ";
          ထွက်ပေါက်;
      }
  }
  $ csrf_token = bin2hex (ကျပန်း];
  $ _session ['csrf_token'] = $ csrf_token;
  

အကျဉ်းချုပ်

ဤလုံခြုံရေးအစီအမံများကိုရယူခြင်းအားဖြင့်ကျွန်ုပ်တို့သည် PHP ၏လုံခြုံရေးကိုကျွန်ုပ်တို့အလွန်တိုးတက်ကောင်းမွန်အောင်ပြုလုပ်နိုင်ပြီးဆေးထိုးတိုက်ခိုက်မှုများ, ထို့အပြင်စနစ်၏ရေရှည်လုံခြုံရေးကိုသေချာစေရန် developer များသည် code ကိုပုံမှန်ပြန်လည်သုံးသပ်သင့်သည်, လူသိများသောအားနည်းချက်များကိုအချိန်မီပြန်လည်သုံးသပ်သင့်ပြီးလုံခြုံရေးခြိမ်းခြောက်မှုများကိုအာရုံစိုက်သင့်သည်။

ဝဘ်ဆိုက်ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်အတွင်းပုံစံများလုံခြုံရေးသည်နည်းပညာဆိုင်ရာပြ issue နာတစ်ခုသာမကအသုံးပြုသူအချက်အလက်များ၏ကိုယ်ရေးကိုယ်တာအချက်အလက်နှင့်စနစ်တည်ငြိမ်မှုကိုကာကွယ်ရန်လည်းဖြစ်သည်။ developer တိုင်းသည်လုံခြုံစိတ်ချရမှုဖွဲ့စည်းရန်နှင့်သူမကိုယ်ပိုင်လုံခြုံရေးအလေ့အကျင့်စွမ်းရည်ကိုစဉ်ဆက်မပြတ်တိုးတက်စေရန်အမြဲတမ်းသတိထားသင့်သည်။