IFステートメントを使用した入力検証は、設(shè)計(jì)ソフトウェア開(kāi)発による安全性の基本的な実踐です。 2。ステートメントがエントリポイントで信頼されていないデータまたは不正なデータを拒否し、攻撃面を削減し、噴射攻撃を防ぎ、緩衝係のオーバーフロー、および不正アクセスを拒否します。 3.複雑なツールがなくても、年齢範(fàn)囲、電子メール構(gòu)造、または許可された役割を確認(rèn)するなど、條件を使用して、條件を使用して、タイプおよびフォーマットのチェック（年齢範(fàn)囲、電子メール構(gòu)造、または許可された役割など）を使用します。 4。許容可能な入力（例えば、「ビュー」のみ、「編集」、「削除」のみを許可する）は、既知の悪い値をブラックリストに登録するよりも安全で保守可能です。 5.ステートメントが、削除アクションを管理者に制限したり、ファイルサイズの制限を施行したり、承認(rèn)を検証と統(tǒng)合するなどの條件を組み合わせることにより、ステートメントがコンテキストを認(rèn)識(shí)できるセキュリティを有効にする場(chǎng)合。 6.すべての入力が信頼されず、高速で故障し、チェックを明確にしている場(chǎng)合、開(kāi)発者は基本的な制御構(gòu)造のみを使用して予測(cè)可能な安全なシステムを構(gòu)築し、セキュリティを設(shè)計(jì)の基礎(chǔ)要素にすることができます。

最も基本的な、そしてしばしば見(jiàn)過(guò)ごされがちな - プラクティスの1つである安全なソフトウェアを構(gòu)築する場(chǎng)合、入力検証があります。この取り組みの重要なツール？謙虛if聲明。特にユーザー入力を早期かつ一貫して検証および消毒する場(chǎng)合、ステートメントが思慮深く設(shè)計(jì)によるバックボーンを設(shè)計(jì)することができるif 、ステートメントを思慮深く使用することができる場(chǎng)合は、強(qiáng)力になるにはあまりにも単純に思えるかもしれません。

複雑なフレームワークやサードパーティライブラリのみに依存するのではなく、開(kāi)発者は、條件が明確で明示的なif 、チェックをコントロールフローに直接組み込むことにより、堅(jiān)牢なセキュリティを?qū)g現(xiàn)できます。このプロアクティブな方法は、脅威に反応するのではなく、最初からそれらを設(shè)計(jì)することによって、注射攻撃、バッファーオーバーフロー、不正アクセスなど、多くの一般的な脆弱性を防ぎます。

早期に検証し、頻繁に検証します

設(shè)計(jì)によるセキュアの1つの原則は、著信データを決して信用しないことです。 Webフォーム、APIエンドポイント、または構(gòu)成ファイルからのものであろうと、すべての入力は、そうでないことが証明されるまで信頼されていないように扱う必要があります。

関數(shù)またはルートのエントリポイントでifを使用すると、速く失敗することができます。

 def create_user（username、age）：
    usernameまたはlen（username.strip（））== 0でない場(chǎng)合：
        Raise ValueRerr（ "ユーザー名が必須"）
    ISINSTANCE（年齢、INT）または年齢<13または年齢> 120：
        Raise ValueError（「年齢は13?120の間の有効な數(shù)字でなければなりません」）

    ＃ユーザー作成を続行します

この種の検証：

• より深い論理に到達(dá)する前に、悪い入力を拒否します
• 攻撃面を減らします
• エラー処理が予測(cè)可能になります

タイプとフォーマットのチェックを強(qiáng)制します

多くのセキュリティの欠陥は、タイプの混亂または奇形のデータ（例えば、SQLインジェクション、コマンドインジェクション）から生じます。チェックが使用される前に、データが予想される形式に適合していることを確認(rèn)できるif 。

たとえば、ユーザーの役割を処理する場(chǎng)合：

 Alduming_roles = {'user'、 'admin'、 'moderator'}
abold_rolesで役割がない場(chǎng)合：
    Raise PermissionError（「提供された無(wú)効な役割」）

または、電子メール形式を検証する場(chǎng)合（基本レベル）：

 '@'が電子メールにないか '。'電子メールまたはlen（電子メール）> 254ではありません：
    Raise ValueError（ "無(wú)効な電子メール形式"）

これらのチェックは、完全な解析や正規(guī)表現(xiàn)の検証を置き換えるものではありませんが、効果的な初期フィルターとして機(jī)能します。目標(biāo)は1つのステップでは完璧ではありません。それは、階層化された防御です。

ブラックリストに登録されているホワイトリストを使用してください

安全な入力検証におけるコアベストプラクティスは、本質(zhì)的に壊れやすい既知の悪いもの（ブラックリスト）をブロックしようとするのではなく、許容可能な入力をホワイトリストに登録することです。

聲明のif 、これは、あなたが危険だと思うものではなく、許可されているものをチェックすることを意味します。

 action = get_user_action（）
['view'、 'edit'、 'delete'でのアクションがない場(chǎng)合]：
    中止（400、「無(wú)効なアクション」）

このアプローチは、ブロックリストを更新する貓とマウスのゲームを回避し、ロジックをより保守しやすく安全にします。

コンテキストを意識(shí)するセキュリティの條件を組み合わせます

検証がコンテキストに依存する場(chǎng)合があります。たとえば、管理者のみがレコードを削除できるか、ファイルアップロードが特定のサイズになる必要があります。

ステートメントがこれらのルールを明確に実施するのに役立つif 、化合物を使用してください。

 user.role！= 'admin'およびaction == 'delete'の場(chǎng)合：
    Raise PermissionError（「管理者のみが削除できる」）

if file.size> max_file_size：
    Raise ValueRerr（「ファイルが大きすぎる」）

これらのコンテキストチェックは、承認(rèn)と検証をシームレスに統(tǒng)合し、ロジック欠陥の可能性を減らします。

入力検証のためのステートメントif使用すると、基本的なステートメントが感じる可能性がありますが、その明確さ、予測(cè)可能性、および即時(shí)性により、セキュリティをゼロから構(gòu)築するのに理想的になります。フェイルファースト、ホワイトリスト、コンテキスト対応のチェックなどの原則と組み合わせると、セキュアによる設(shè)計(jì)戦略の強(qiáng)力なツールになります。

開(kāi)始するために複雑なツールは必要ありません。単純な制御構(gòu)造を訓(xùn)練された思慮深い使用だけです?；镜膜耍涸绀幛舜_認(rèn)し、明示的に確認(rèn)し、何も想定していません。

以上が設(shè)計(jì)によるセキュア：堅(jiān)牢な入力検証のためのIFステートメントを使用するの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。