Sentiasa melarikan diri output menggunakan kaedah khusus konteks: htmlspecialchars () untuk kandungan dan atribut html, rawurlencode () untuk url, dan json_encode () dengan json_hex_tag, json_hex_apos, json_hex_quot, dan json_unescaped. 2. Gunakan enjin templating seperti Twig, Laravel Blade, atau Templat PHP Symfony yang auto-escape secara lalai, meminimumkan kesilapan manusia. 3. Jangan sekali -kali menyuntik pembolehubah PHP terus ke JavaScript; Sentiasa gunakan json_encode () yang ditandakan dengan betul untuk mengelakkan XSS. 4. Sanitize input untuk integriti data tetapi tidak pernah bergantung padanya untuk keselamatan output, kerana konteks yang berbeza memerlukan melarikan diri yang berbeza. 5. Melaksanakan tajuk Dasar Keselamatan Kandungan (CSP) sebagai langkah pertahanan-mendalam untuk mengurangkan risiko XSS walaupun melarikan diri dilangkau. 6. Buat atau gunakan fungsi pembantu terbina dalam seperti E () untuk menyelaraskan output selamat melarikan diri. Melarikan diri dalam PHP adalah selamat dan boleh diurus apabila anda melarikan diri pada output, gunakan templat moden, mengendalikan JavaScript dengan selamat, dan pertahanan lapisan seperti CSP.

Apabila menulis aplikasi PHP moden, pengendalian output dengan selamat tidak boleh dirunding. Tidak dapat melarikan diri membawa kepada kelemahan keselamatan-terutamanya skrip lintas tapak (XSS) -dan, html yang rosak. Berita baiknya ialah ekosistem PHP hari ini menawarkan corak melarikan diri yang bersih, konsisten, dan selamat. Inilah caranya untuk melakukannya pada tahun 2024 dan seterusnya.

1. Sentiasa melepaskan output berdasarkan konteks

Peraturan Emas: Melarikan diri data pada titik output , bukan input. Dan secara penting, kaedah yang melarikan diri bergantung pada di mana dan bagaimana anda mengeluarkan data .

• Kandungan badan html → htmlspecialchars()
• Nilai atribut html → htmlspecialchars() dengan memetik yang betul
• JavaScript dalam Templat → Json-Encode dengan json_encode()
• Parameter URL → rawurlencode()
• CSS atau Konteks JS mentah → Elakkan penyisipan dinamik apabila mungkin; Gunakan alternatif yang lebih selamat

Contoh:

 // output html selamat
echo &#39;<p>&#39;. htmlspecialchars ($ usercontent, ent_quotes, &#39;utf-8&#39;). &#39;</p>&#39;;

// atribut selamat
echo &#39;<input value = "&#39;. htmlspecialchars ($ nilai, ent_quotes, &#39;utf-8&#39;). &#39;">&#39;;

// parameter url selamat
echo &#39;<a href = "/profil? name =&#39;. Rawurlencode ($ name). &#39;"> Profil </a>&#39;;

?? Jangan sekali -kali bergantung pada htmlentities() melainkan jika anda mempunyai keperluan charset warisan. htmlspecialchars() lebih cepat dan mencukupi untuk kebanyakan kes.

2. Gunakan templat dengan melarikan diri terbina dalam (disyorkan)

Projek PHP moden harus menggunakan enjin templating yang auto-escape secara lalai. Ini secara drastik mengurangkan kesilapan manusia.

Ranting (pilihan paling popular)

 <!-Auto-Ecaped secara lalai->
<p> {{user.name}} </p>

<!-Tandakan dengan selamat hanya apabila dipercayai->
<div> {{htmlcontent | raw}} </div>

Bilah Laravel

 <!-melarikan diri secara lalai->
<p> {{$ name}} </p>

<!-Uneachaped (gunakan dengan berhati-hati)->
<div> {!! $ amanahhtml !!} </div>

Templat PHP Symfony (dengan komponen escaper)

 <? php echo $ this-> Escape (&#39;html&#39;, $ name)?>

? Benefit: Anda tidak perlu ingat untuk melarikan diri dari setiap echo -estaping adalah tingkah laku lalai.

3. Melarikan diri untuk JavaScript dengan selamat

Suntikan data PHP ke JavaScript adalah vektor XSS biasa. Jangan sekali -kali melakukan ini:

 <script>
  var username = "<? = $ username?>"; // Berbahaya!
</script>

? Sebaliknya, gunakan json_encode() dengan bendera yang sesuai:

 <script>
  var userData = <? = json_encode ($ data, json_hex_tag | json_hex_apos | json_hex_quot | json_unescaped_unicode)?>;
</script>

Mengapa ini berfungsi:

• JSON_HEX_TAG , JSON_HEX_APOS , JSON_HEX_QUOT : mencegah </script> , ' , dan " dari memecahkan konteks
• JSON_UNESCAPED_UNICODE : menyimpan UTF-8 boleh dibaca
• json_encode() output literals JavaScript yang sah, disebut dengan betul

4. Mengesahkan dan membersihkan input, tetapi jangan bergantung padanya untuk keselamatan output

Input sanitasi (contohnya, tag pelucutan dengan strip_tags() atau filter_var() ) berguna untuk integriti data -tetapi ia bukan pengganti output yang melarikan diri .

Contoh:

 // baik: sanitasi input
$ email = filter_var ($ _ post ['e -mel'], filter_sanitize_email);

// masih mesti melepaskan output
Echo 'E -mel:'. htmlspecialchars ($ e-mel, ent_quotes, 'utf-8');

Kenapa? Data yang sama mungkin output dalam konteks yang berbeza (HTML, JSON, E -mel, dan lain -lain), masing -masing memerlukan melarikan diri yang berbeza.

5. Gunakan Dasar Keselamatan Kandungan (CSP) sebagai lapisan pertahanan-mendalam

Walaupun dengan melarikan diri yang sempurna, XSS boleh tergelincir. Tambahkan tajuk CSP yang kuat untuk mengurangkan kesan:

 header ("Kandungan-keselamatan-dasar: lalai-src 'diri'; skrip-src 'diri' 'tidak selamat-inline'");

Dari masa ke masa, menghapuskan 'unsafe-inline' dan gunakan nonces atau hash untuk skrip yang dibenarkan.

CSP tidak akan menggantikan melarikan diri, tetapi ia boleh menghalang seluruh kelas serangan XSS apabila melarikan diri gagal.

Bonus: Fungsi penolong untuk kod bersih

Buat pembantu yang boleh diguna semula untuk mengelakkan mengulangi htmlspecialchars di mana -mana:

 fungsi e (string $ teks): String
{
    kembali htmlspecialchars ($ teks, ent_quotes, 'utf-8');
}

// Penggunaan
echo &#39;<p>&#39;. e ($ nama). &#39;</p>&#39;;

Dalam rangka kerja moden, pembantu seperti itu sering wujud dari kotak.

Melarikan diri di PHP tidak perlu membosankan atau berisiko. Dengan menggunakan konteks yang melarikan diri, enjin templating moden, dan strategi pertahanan-mendalam seperti CSP, anda boleh menulis kod yang selamat dan boleh dibaca.

Pada asasnya: melarikan diri pada output, gunakan templat, encode untuk JS, dan tidak pernah mempercayai suntikan mentah.

Atas ialah kandungan terperinci PHP moden melarikan diri corak untuk kod selamat dan bersih. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!