<p>為了防禦XSS和PHP中的注入：1。始終使用HTMLSpecialChars（）html，JSON_ENCODE（）用於javaScript的HTMLSpecialChars（），而URLENCODE（）和URLENCODE（）用於URL，這取決於上下文。 2。使用適當(dāng)過(guò)濾器的Filter_var（）提早驗(yàn)證和消毒輸入，應(yīng)用白名單驗(yàn)證並拒絕錯(cuò)誤的數(shù)據(jù)，並註意到PHP 8.1中對(duì)Filter_sanitize_string棄用。 3.使用PDO或MySQLI準(zhǔn)備的已準(zhǔn)備好的語(yǔ)句通過(guò)將用戶輸入作為數(shù)據(jù)而不是代碼來(lái)防止SQL注入。 4。避免使用 /e修飾符等危險(xiǎn)功能，例如eval（），extract（）和preg_replace（），並且永遠(yuǎn)不會(huì)在不逃脫的情況下輸出原始的用戶內(nèi)容。 5。使用HTML淨(jìng)化器通過(guò)僅允許白色標(biāo)籤來(lái)安全處理豐富的HTML輸入。 6。設(shè)置安全標(biāo)頭，例如x-content-type-options：nosniff，x-xss-protection：1;模式=塊，以及嚴(yán)格的內(nèi)容安全性，以阻止未經(jīng)授權(quán)的腳本。將所有用戶輸入視為不受信任的情況，並應(yīng)用分層防禦以確保穩(wěn)健的安全性。 </p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175343779224409.jpg" class="lazy" alt="防禦弦處理：防止XSS和PHP注射攻擊"></p> <p>在處理PHP中的用戶輸入時(shí)，<strong>防禦性字符串處理</strong>對(duì)於防止常見(jiàn)的安全漏洞（例如<strong>跨站點(diǎn)腳本（XSS）</strong>和<strong>代碼注入攻擊）</strong>至關(guān)重要。許多開(kāi)發(fā)人員認(rèn)為基本輸入過(guò)濾已經(jīng)足夠了 - 事實(shí)還不夠。需要採(cǎi)取分層，主動(dòng)的方法來(lái)確保您的申請(qǐng)保持安全。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175343779614587.jpeg" class="lazy" alt="防禦弦處理：防止XSS和PHP注射攻擊"><p>這是正確處理PHP中的琴弦以防禦XSS和注射風(fēng)險(xiǎn)的方法。</p> <hr> <h3> 1。<strong>始終逃脫輸出（上下文很重要）</strong> </h3> <p>針對(duì)<strong>XSS的</strong>最有效防御之一是<strong>輸出逃脫</strong>- 根據(jù)輸出上下文將特殊字符轉(zhuǎn)換為其安全的等效物。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175343780089808.jpeg" class="lazy" alt="防禦弦處理：防止XSS和PHP注射攻擊"><p>切勿僅僅因?yàn)槟谳斎肷稀扒鍧崱睌?shù)據(jù)就可以安全。相反，<strong>根據(jù)輸出點(diǎn)</strong>逃脫它，具體取決於使用的位置：</p> <ul><li> <p> <strong>html上下文</strong>：使用<code>htmlspecialchars()</code> </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175343780266035.jpeg" class="lazy" alt="防禦弦處理：防止XSS和PHP注射攻擊"><pre class='brush:php;toolbar:false;'> Echo HTMLSpeceAlchars（$ userInput，ent_quotes，&#39;utf-8&#39;）;</pre><p>這將轉(zhuǎn)換為<code><</code> <code><</code> ， <code>></code> to <code>></code>和<code>"</code> ，防止腳本注入。</p></li><li><p> <strong>JavaScript上下文</strong>：逃脫用於<code><script></code>標(biāo)籤或直列處理程序的使用</p><pre class='brush:php;toolbar:false;'>echo json_encode（$ userInput，json_hex_tag | json_hex_apos | json_hex_quot）;</pre><p>這樣可以確保嵌入在JavaScript中的字符串不會(huì)破壞上下文並執(zhí)行惡意代碼。</p></li><li><p> <strong>URL</strong> ：使用<code>urlencode()</code>進(jìn)行查詢參數(shù)</p><pre class='brush:php;toolbar:false;'>echo&#39;<a href =“ profile.php？id =&#39;。urlencode（$ userId）。&#39;“>&#39;;</pre></li><li><p> <strong>CSS或?qū)傩?lt;/strong>：要謹(jǐn)慎 - 避免將用戶數(shù)據(jù)直接插入樣式中。如果需要，嚴(yán)格驗(yàn)證並適當(dāng)逃脫。</p></li></ul><blockquote><p> ？<strong>經(jīng)驗(yàn)法則</strong>：避免遲到，經(jīng)常逃脫，並根據(jù)環(huán)境逃脫。</p></blockquote><hr /><h3 id="strong-早期驗(yàn)證和消毒輸入-strong"> 2。<strong>早期驗(yàn)證和消毒輸入</strong></h3><p>雖然逃脫的輸出是必不可少的，但<strong>輸入驗(yàn)證</strong>從一開(kāi)始就減少了攻擊表面。</p><p>使用PHP的<code>filter_var()</code>函數(shù)進(jìn)行消毒和驗(yàn)證：</p><pre class='brush:php;toolbar:false;'> //用作字符串（刪除非法字符）消毒） $ cleanInput = filter_var（$ rawinput，filter_sanitize_string）; //驗(yàn)證作為電子郵件 if（！filter_var（$ email，filter_validate_email））{ DIE（“無(wú)效電子郵件”）; } //為整數(shù)消毒 $ userId = filter_var（$ _ get [&#39;id&#39;]，filter_sanitize_number_int）;</pre><blockquote><p> ??注意： <code>FILTER_SANITIZE_STRING</code>截至PHP 8.1。對(duì)於較新的版本，請(qǐng)使用手動(dòng)過(guò)濾或<code>HTML Purifier</code>進(jìn)行豐富的內(nèi)容。</p></blockquote><p>有關(guān)更強(qiáng)大的輸入處理：</p><ul><li>使用<strong>白名單驗(yàn)證</strong>（例如，僅允許用戶名的字母數(shù)字空間）。</li><li>儘早拒絕畸形或可疑輸入。</li></ul><hr /><h3 id="strong-使用準(zhǔn)備好的陳述防止SQL注入-strong"> 3。<strong>使用準(zhǔn)備好的陳述防止SQL注入</strong></h3><p>SQL查詢中的串聯(lián)串聯(lián)是<strong>SQL注入</strong>的主要原因。切勿直接插值用戶輸入。</p><p>而是使用PDO或Mysqli的<strong>準(zhǔn)備好的語(yǔ)句</strong>：</p><pre class='brush:php;toolbar:false;'> $ stmt = $ pdo->準(zhǔn)備（“從email =？”的用戶選擇 *）; $ stmt->執(zhí)行（[$ email]）; $ user = $ stmt-> fetch（）;</pre><p>這樣可以確保將用戶輸入視為<strong>數(shù)據(jù)</strong>，而不是可執(zhí)行的代碼，即使它包含<code>&#39; OR 1=1 --</code> 。</p><blockquote><p> ?永遠(yuǎn)不要這樣做：</p><pre class='brush:php;toolbar:false;'> $ query =“從用戶中選擇 * id =”。 $ _get [&#39;id&#39;]; // 危險(xiǎn)的！</pre></blockquote><hr /><h3 id="strong-避免危險(xiǎn)的功能和實(shí)踐-strong"> 4。<strong>避免危險(xiǎn)的功能和實(shí)踐</strong></h3><p>與用戶輸入一起使用時(shí)，某些PHP功能本質(zhì)上是風(fēng)險(xiǎn)的：</p><ul><li> <code>eval()</code> - 切勿與用戶數(shù)據(jù)一起使用。</li><li> <code>extract()</code> - 可以意外地覆蓋變量。</li><li> <code>preg_replace()</code>帶有<code>/e</code>修飾符（已棄用，但仍在舊版代碼中找到）。</li><li> <code>echo</code>或<code>print</code>而無(wú)需逃脫。</li></ul><p>另外，除非絕對(duì)必要，否則避免從用戶<strong>存儲(chǔ)RAW HTML</strong> 。如果您必須（例如，對(duì)於豐富的文本），請(qǐng)使用諸如<strong>HTML淨(jìng)化器之</strong>類的庫(kù)進(jìn)行白名單安全標(biāo)籤：</p><pre class='brush:php;toolbar:false;'> require_once&#39;htmlpurifier.auto.php&#39;; $ config = htmlpurifier_config :: createfault（）; $ purifier =新的htmlpurifier（$ config）; $ cleanhtml = $ purifier-> purify（$ userHtml）;</pre><hr /><h3 id="strong-設(shè)置正確的HTTP標(biāo)頭-strong"> 5。<strong>設(shè)置正確的HTTP標(biāo)頭</strong></h3><p>使用安全標(biāo)頭添加額外的防禦層：</p><pre class='brush:php;toolbar:false;'> //防止啞劇嗅探 標(biāo)頭（&#39;x-content-type-options：nosniff&#39;）; //在瀏覽器中啟用XSS保護(hù)（儘管不是萬(wàn)無(wú)一失） 標(biāo)頭（&#39;X-XSS保護(hù)：1; mode = block&#39;）; //使用內(nèi)容安全策略（CSP）限制腳本源 標(biāo)題（“ content-security-policy：default-src&#39;self&#39;; script-src&#39;self&#39;https://trusted.cdn.com”）;</pre><p> CSP通過(guò)阻止內(nèi)聯(lián)腳本和未經(jīng)授權(quán)的外部來(lái)源來(lái)減輕XSS。</p> <hr> <h3 id="摘要-關(guān)鍵實(shí)踐">摘要：關(guān)鍵實(shí)踐</h3> <p>防禦XSS和注射：</p> <ul> <li> ?使用<code>htmlspecialchars()</code>或上下文感知方法逃脫輸出。</li> <li> ?使用<code>filter_var()</code>或嚴(yán)格的規(guī)則驗(yàn)證和消毒輸入。</li> <li> ?將<strong>準(zhǔn)備好的語(yǔ)句</strong>用於數(shù)據(jù)庫(kù)查詢。</li> <li> ?避免使用<code>eval()</code>和<code>extract()</code>之類的風(fēng)險(xiǎn)功能。</li> <li> ?使用<strong>HTML淨(jìng)化器</strong>來(lái)安全豐富的內(nèi)容。</li> <li> ?設(shè)置CSP和<code>X-Content-Type-Options</code>等安全標(biāo)頭。</li> </ul> <p>安全不是一次性修復(fù) - 這是一種心態(tài)。處理從用戶不受信任的每個(gè)字符串，並深入應(yīng)用防禦。</p> <p>基本上，如果它來(lái)自用戶，請(qǐng)像裝載槍一樣對(duì)待它 - 直到您對(duì)其進(jìn)行了消毒，驗(yàn)證並正確逃脫。</p> </li></ul>

以上是防禦弦處理：防止XSS和PHP注射攻擊的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！