使用if語句的輸入驗證是設(shè)計軟件開發(fā)的安全性實踐。 2。及早驗證if語句在入口點拒絕未經(jīng)信任或畸形的數(shù)據(jù)，減少攻擊表面並防止注射攻擊，緩衝溢出和未經(jīng)授權(quán)的訪問。 3.類型和格式使用簡單的條件（例如驗證年齡範(fàn)圍，電子郵件結(jié)構(gòu)或允許的角色）作為有效的早期過濾器，即使沒有復(fù)雜的工具也可以執(zhí)行。 4.白名單可接受的輸入（例如，僅允許“視圖”，“ edit”，“ delete”）比黑名單已知的壞價值更安全和可維護(hù)。 5。複合如果語句通過結(jié)合條件來啟用上下文感知安全性，例如將刪除操作限制為管理員或執(zhí)行文件大小限制，將授權(quán)與驗證集成在一起。 6。假設(shè)所有輸入是不受信任的，失敗了，並且使用清晰，明確的情況，如果檢查，開發(fā)人員可以僅使用基本控制結(jié)構(gòu)構(gòu)建可預(yù)測的安全系統(tǒng)，從而使安全性成為設(shè)計的基礎(chǔ)元素。

當(dāng)構(gòu)建安全軟件時，最基本的（但經(jīng)常被忽視）的做法是輸入驗證。這項工作的關(guān)鍵工具？謙虛的if 。雖然它似乎太簡單了，無法發(fā)揮功能，但使用if語句可以通過設(shè)計方法形成安全的骨幹，尤其是在驗證和對用戶輸入及早且始終如一時進(jìn)行驗證時。

開發(fā)人員不僅要僅依靠複雜的框架或第三方庫，還可以通過使用清晰的，明確的if將檢查直接嵌入控制流中來實現(xiàn)強(qiáng)大的安全性。這種主動的方法可以防止許多常見的漏洞，例如注射攻擊，緩衝區(qū)溢出和未經(jīng)授權(quán)的訪問 - 不是通過對威脅做出反應(yīng)，而是從一開始就將其設(shè)計出來。

早期驗證，經(jīng)常驗證

設(shè)計的安全原則是永遠(yuǎn)不要相信傳入的數(shù)據(jù)。無論是來自Web表單，API端點還是配置文件，每個輸入都應(yīng)被視為不信任，直到否則證明。

在功能或路線的輸入點處使用if語句，您可以快速失?。?/p>

 def create_user（用戶名，年齡）：
    如果不是用戶名或len（username.strip（））== 0：
        提高價值Error（“需要用戶名”）
    如果不是Isinstance（年齡，INT）或年齡<13或年齡> 120：
        提高價值（“年齡必須是13至120之間的有效數(shù)字”）

    ＃繼續(xù)用戶創(chuàng)建

這種驗證：

• 在達(dá)到更深層次的邏輯之前拒絕不良輸入
• 減少攻擊表面
• 使錯誤處理可預(yù)測

執(zhí)行類型和格式檢查

許多安全缺陷是由類型的混亂或畸形數(shù)據(jù)（例如，SQL注入，命令注射）引起的。簡單if檢查可以確保數(shù)據(jù)在使用之前符合預(yù)期格式。

例如，處理用戶角色時：

 wasse_roles = {'user'，'admin'，'主持人'}
如果在washer_roles中沒有角色：
    提高許可（“提供的無效角色”）

或驗證電子郵件格式（基本級別）時：

如果'@'不在電子郵件或'。不在電子郵件或Len（電子郵件）> 254中：
    提高價值Error（“無效的電子郵件格式”）

這些檢查不能取代完整的解析或正則驗證，但它們是有效的早期過濾器。目標(biāo)不是完美的，而是分層的防守。

在黑名單上使用白名單

安全輸入驗證中的核心最佳實踐是白色可接受的輸入，而不是試圖阻止已知的壞核電（黑名單），這本質(zhì)上是脆弱的。

使用if語句，這意味著檢查允許的內(nèi)容，而不是您認(rèn)為危險的內(nèi)容：

操作= get_user_action（）
如果在['view'，'edit'，'delete'中不在操作中]：
    流產(chǎn)（400，“無效的動作”）

這種方法避免了更新區(qū)塊列表的貓和小鼠遊戲，並使您的邏輯更加可維護(hù)和安全。

結(jié)合環(huán)境感知安全性的條件

有時驗證取決於上下文 - 例如，只有管理員可以刪除記錄，或者文件上傳必須在一定大小下。

使用化合物if語句有助於明確執(zhí)行這些規(guī)則：

如果user.role！ ='admin'和action =='delete'：
    提出許可（“只有管理員可以刪除”）

如果file.ize> max_file_size：
    提高價值Error（“文件太大”）

這些上下文檢查可以無縫集成授權(quán)和驗證，從而減少了邏輯缺陷的機(jī)會。

使用if語句進(jìn)行輸入驗證可能會感到基礎(chǔ)，但是它們的清晰度，可預(yù)測性和即時性使其非常適合從頭開始建立安全性。當(dāng)結(jié)合諸如失敗，白名單和上下文感知檢查之類的原則時，它們在設(shè)計策略中成為安全的工具。

您不需要復(fù)雜的工具就可以啟動 - 只需對簡單控制結(jié)構(gòu)進(jìn)行紀(jì)律嚴(yán)明，周到的使用。基本上：提早檢查，明確檢查，什麼也沒假。

以上是設(shè)計安全：使用if語句進(jìn)行魯棒輸入驗證的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！