常見的 PHP 安全問題以及如何預(yù)防

安全性是 Web 開發(fā)中最關(guān)鍵的方面之一。 PHP 是使用最廣泛的伺服器端程式語(yǔ)言之一，如果沒有適當(dāng)?shù)谋Ｗo(hù)，通常會(huì)成為攻擊的目標(biāo)。開發(fā)人員必須了解常見的安全漏洞並採(cǎi)取必要的措施來保護(hù)其應(yīng)用程式。

在本文中，我們將探討一些最常見的 PHP 安全問題以及如何緩解這些問題。

---

1. SQL注入

問題：
當(dāng)攻擊者能夠透過使用者輸入註入惡意 SQL 程式碼來操縱 SQL 查詢時(shí)，就會(huì)發(fā)生 SQL 注入。如果使用者輸入未經(jīng)適當(dāng)驗(yàn)證或清理而直接包含在 SQL 查詢中，則攻擊者可以執(zhí)行任意 SQL 命令，從而可能危及資料庫(kù)。

如何預(yù)防：

• 使用預(yù)先準(zhǔn)備語(yǔ)句和參數(shù)化查詢：使用 PDO（PHP 資料物件）或 MySQLi 與預(yù)先準(zhǔn)備語(yǔ)句，透過將 SQL 查詢與資料分離來防止 SQL 注入。
• PDO 範(fàn)例：

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

透過使用 :email，使用佔(zhàn)位符準(zhǔn)備查詢，並單獨(dú)綁定實(shí)際值，確保使用者輸入永遠(yuǎn)不會(huì)直接插入查詢中。

• 輸入驗(yàn)證：在 SQL 查詢中使用使用者輸入之前始終驗(yàn)證和清理使用者輸入。
• 最小權(quán)限：確保您的資料庫(kù)使用者擁有執(zhí)行操作所需的最小權(quán)限。

---

2.跨站腳本 (XSS)

問題：
當(dāng)攻擊者將惡意腳本（通常是 JavaScript）注入其他使用者檢視的網(wǎng)頁(yè)時(shí)，就會(huì)發(fā)生 XSS。此腳本可用於竊取會(huì)話 cookie、將使用者重新導(dǎo)向至惡意網(wǎng)站或代表使用者執(zhí)行未經(jīng)授權(quán)的操作。

如何預(yù)防：

• 轉(zhuǎn)義輸出：確保瀏覽器中顯示的所有使用者產(chǎn)生的內(nèi)容都已正確轉(zhuǎn)義。使用 htmlspecialchars() 將特殊字元轉(zhuǎn)換為 HTML 實(shí)體。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

這可以防止瀏覽器執(zhí)行使用者輸入中的任何 HTML 或 JavaScript 程式碼。

• 內(nèi)容安全策略 (CSP)：實(shí)作 CSP 來限制可以在您的網(wǎng)站上載入的內(nèi)容類型並減輕 XSS 攻擊。

• 輸入驗(yàn)證：始終清理使用者輸入，尤其是在接受 HTML 輸出資料時(shí)。

---

3.跨站請(qǐng)求偽造 (CSRF)

問題：
CSRF 是一種攻擊，其中惡意使用者誘騙其他使用者在未經(jīng)同意的情況下在 Web 應(yīng)用程式上執(zhí)行操作（例如更改密碼或進(jìn)行購(gòu)買）。當(dāng)攻擊者使用受害者經(jīng)過驗(yàn)證的會(huì)話發(fā)出未經(jīng)授權(quán)的請(qǐng)求時(shí)，通常會(huì)發(fā)生這種情況。

如何預(yù)防：

• 使用 CSRF 令牌：為每個(gè)修改資料的請(qǐng)求產(chǎn)生唯一的隨機(jī)令牌。發(fā)出請(qǐng)求時(shí)應(yīng)驗(yàn)證此令牌以確保其合法性。

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

• 同網(wǎng)站 Cookie：使用 SameSite cookie 屬性來限制跨網(wǎng)站要求中傳送 cookie 的方式。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

---

4.不安全的文件上傳

問題：
允許用戶在未經(jīng)適當(dāng)驗(yàn)證的情況下上傳文件可能會(huì)導(dǎo)致嚴(yán)重的漏洞。攻擊者可以上傳惡意文件，例如 PHP 腳本，這些文件可以在伺服器上執(zhí)行。

如何預(yù)防：

• 檢查檔案副檔名和 MIME 類型：一律透過檢查檔案副檔名和 MIME 類型來驗(yàn)證檔案類型。不要僅依賴用戶提供的數(shù)據(jù)。

  // Generate CSRF token
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

  // Include token in form
  echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';

  // Validate token on form submission
  if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
      die('CSRF token validation failed.');
  }

• 限製檔案大小：設(shè)定上傳的最大檔案大小限制，以防止透過大型檔案進(jìn)行拒絕服務(wù) (DoS) 攻擊。

• 重新命名上傳的檔案：避免使用原始檔案名稱。將上傳的檔案重新命名為唯一的名稱，以防止使用者猜測(cè)或覆蓋現(xiàn)有檔案。

• 將檔案儲(chǔ)存在 Web 根目錄之外：將上傳的檔案儲(chǔ)存在無(wú)法透過 Web 存取的目錄中（即 public_html 或 www 資料夾之外）。

• 禁止執(zhí)行檔：絕不允許上傳 .php、.exe 或其他執(zhí)行檔類型。即使您驗(yàn)證文件類型，最好還是避免處理可能執(zhí)行程式碼的文件。

---

5.會(huì)話管理不足

問題：
不良的會(huì)話管理實(shí)踐可能會(huì)使您的應(yīng)用程式容易受到攻擊，例如會(huì)話劫持或會(huì)話固定。例如，如果沒有適當(dāng)保護(hù)，攻擊者可以竊取或預(yù)測(cè)會(huì)話標(biāo)識(shí)符。

如何預(yù)防：

• 使用安全 Cookie：確保會(huì)話 cookie 設(shè)定了 HttpOnly、Secure 和 SameSite 標(biāo)誌。

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

• 重新產(chǎn)生會(huì)話 ID：每當(dāng)使用者登入或執(zhí)行敏感操作時(shí)重新產(chǎn)生會(huì)話 ID，以防止會(huì)話固定。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

• 會(huì)話過期：設(shè)定適當(dāng)?shù)臅?huì)話過期時(shí)間並實(shí)作會(huì)話逾時(shí)，以確保會(huì)話不會(huì)無(wú)限期地保持開啟。

---

6.指令注入

問題：
當(dāng)攻擊者將惡意指令注入到由 PHP 的 exec()、shell_exec()、system() 或類似函數(shù)執(zhí)行的系統(tǒng)指令中時(shí)，就會(huì)發(fā)生指令注入。這可以允許攻擊者在伺服器上運(yùn)行任意命令。

如何預(yù)防：

• 避免使用 Shell 函數(shù)：避免在使用者輸入時(shí)使用 exec()、shell_exec()、system() 或 passthru() 等函數(shù)。如果您必須使用這些函數(shù)，請(qǐng)確保對(duì)輸入進(jìn)行正確的驗(yàn)證和清理。

• 使用 Escapeshellcmd() 和 Escapeshellarg()：如果必須執(zhí)行 shell 命令，請(qǐng)使用 escapeshellcmd() 和 escapeshellarg() 在將使用者輸入傳遞到命令列之前對(duì)其進(jìn)行清理。
  

  // Generate CSRF token
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

  // Include token in form
  echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';

  // Validate token on form submission
  if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
      die('CSRF token validation failed.');
  }

---

7.錯(cuò)誤處理不當(dāng)

問題：
暴露敏感錯(cuò)誤訊息可能會(huì)洩露有關(guān)應(yīng)用程式結(jié)構(gòu)的信息，這些資訊可能會(huì)被攻擊者利用。當(dāng)向使用者顯示詳細(xì)的錯(cuò)誤訊息時(shí)，通常會(huì)發(fā)生這種情況。

如何預(yù)防：

• 停用在生產(chǎn)中顯示錯(cuò)誤：永遠(yuǎn)不要在生產(chǎn)中向使用者顯示詳細(xì)的錯(cuò)誤訊息。相反，將錯(cuò)誤記錄到檔案並向使用者顯示一般錯(cuò)誤訊息。

  setcookie('session', $sessionId, ['samesite' => 'Strict']);

• 記錄錯(cuò)誤：使用適當(dāng)?shù)娜照I機(jī)制（如 error_log()）安全地捕獲錯(cuò)誤訊息，而不會(huì)將其透露給最終用戶。

  $allowedTypes = ['image/jpeg', 'image/png'];
  if (in_array($_FILES['file']['type'], $allowedTypes)) {
      // Proceed with file upload
  }

---

8.跨站 WebSocket 劫持

問題：
如果您在 PHP 應(yīng)用程式中使用 WebSocket，不安全的 WebSocket 連線可能會(huì)被劫持以冒充使用者並傳送惡意資料。

如何預(yù)防：

• 使用 HTTPS 進(jìn)行 WebSocket 連線：確保透過 wss://（WebSocket 安全性）而不是 ws:// 建立 WebSocket 連線來加密資料。

• 驗(yàn)證 Origin 標(biāo)頭：驗(yàn)證 Origin 標(biāo)頭以確保請(qǐng)求來自允許的網(wǎng)域。
  

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

---

9.弱密碼儲(chǔ)存

問題：
如果資料庫(kù)遭到破壞，以純文字形式儲(chǔ)存使用者密碼或使用弱雜湊演算法可能會(huì)導(dǎo)致嚴(yán)重的安全問題。

如何預(yù)防：

• 使用強(qiáng)雜湊演算法：使用PHP內(nèi)建的password_hash()和password_verify()函數(shù)來安全地雜湊和驗(yàn)證密碼。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

• 加鹽：總是使用鹽（在password_hash()中自動(dòng)完成），確保即使兩個(gè)使用者俱有相同的密碼，他們的雜湊值也會(huì)不同。

---

結(jié)論

PHP 安全對(duì)於保護(hù)您的應(yīng)用程式及其使用者至關(guān)重要。透過了解和緩解 SQL 注入、XSS、CSRF、檔案上傳問題和會(huì)話管理缺陷等常見漏洞，您可以顯著改善 PHP 應(yīng)用程式的安全狀況。

採(cǎi)用良好的實(shí)踐（例如使用準(zhǔn)備好的語(yǔ)句、驗(yàn)證輸入、使用 HTTPS 以及安全處理會(huì)話和密碼）將有助於防止最常見的攻擊。始終了解最新的安全實(shí)踐，並定期審核您的應(yīng)用程式是否有潛在漏洞。

以上是常見的 PHP 安全性問題以及如何預(yù)防的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！