始終使用filter_input（）或filter_var（）之類(lèi)的功能驗(yàn)證和消毒超級(jí)全局輸入，以確保數(shù)據(jù)符合預(yù)期的標(biāo)準(zhǔn)並且沒(méi)有惡意內(nèi)容。 2.處理數(shù)據(jù)庫(kù)操作時(shí)，使用已準(zhǔn)備好的語(yǔ)句使用參數(shù)化查詢(xún)，以防止SQL注入，即使在驗(yàn)證輸入後也是如此。 3。在HTMLSpecialChars（）中顯示HTML中用戶(hù)提供的數(shù)據(jù)時(shí)，以防止跨站點(diǎn)腳本（XSS）攻擊時(shí)，逃脫輸出。 4.通過(guò)生成唯一的文件名，使用Finfo驗(yàn)證MIME類(lèi)型以及限制允許的文件類(lèi)型，可以安全地上傳文件上傳。 5。謹(jǐn)慎對(duì)待$ _Server值，避免由於欺騙風(fēng)險(xiǎn)而直接使用安全邏輯。 6.僅接受必要的投入並拒絕或?qū)ζ渌袃?nèi)容進(jìn)行必要的意見(jiàn)，應(yīng)用最少特權(quán)的原則。進(jìn)入進(jìn)入後的所有超級(jí)全球數(shù)據(jù)，對(duì)構(gòu)建安全的PHP應(yīng)用程序至關(guān)重要。

安全PHP開(kāi)發(fā)的最關(guān)鍵方面之一是正確處理超級(jí)全局變量，例如$_GET ， $_POST ， $_REQUEST ， $_COOKIE和$_SERVER 。這些輸入是用戶(hù)數(shù)據(jù)的直接進(jìn)入點(diǎn)，如果沒(méi)有適當(dāng)?shù)南?，則可以將應(yīng)用程序暴露於常見(jiàn)漏洞，例如SQL注入，跨站點(diǎn)腳本（XSS）和命令注入。減輕這些風(fēng)險(xiǎn)始於在使用所有超級(jí)全球輸入之前對(duì)這些風(fēng)險(xiǎn)進(jìn)行消毒和驗(yàn)證。

早期驗(yàn)證和消毒輸入

第一道防線(xiàn)是永遠(yuǎn)不要相信用戶(hù)輸入。從超級(jí)全球檢索到的每個(gè)價(jià)值都應(yīng)被視為不受信任和潛在的惡意。兩種關(guān)鍵實(shí)踐有助於降低風(fēng)險(xiǎn)：驗(yàn)證和消毒。

• 驗(yàn)證確保輸入匹配預(yù)期標(biāo)準(zhǔn)（例如，類(lèi)型，格式，範(fàn)圍）。
• 消毒清潔數(shù)據(jù)以刪除或逃避潛在的有害內(nèi)容。

例如，如果期望從$_GET['id']的整數(shù)：

 $ id = filter_input（input_get，'id'，filter_validate_int）;
如果（$ id === false）{
    die（“無(wú)效ID”）;
}

使用filter_input()或filter_var()利用PHP的內(nèi)置過(guò)濾器擴(kuò)展名，它提供了安全，一致的方法來(lái)驗(yàn)證和消毒不同的數(shù)據(jù)類(lèi)型。

防止SQL注入

直接傳遞到SQL查詢(xún)中的未啟發(fā)性超級(jí)全局?jǐn)?shù)據(jù)是SQL注入的主要原因。始終將準(zhǔn)備的語(yǔ)句與參數(shù)化查詢(xún)一起使用而不是串聯(lián)輸入。

例如，使用PDO：

 $ stmt = $ pDO->準(zhǔn)備（“從id =？”中的用戶(hù)選擇 *）;
$ stmt->執(zhí)行（[$ _ get ['id']]）; //準(zhǔn)備好陳述的安全

即使有了準(zhǔn)備好的語(yǔ)句，首先將$_GET['id']驗(yàn)證為整數(shù)仍然是明智的。深度防禦可確保即使一層失敗，其他人仍在保護(hù)系統(tǒng)。

防止跨站點(diǎn)腳本（XSS）

從超級(jí)全局（例如， $_POST['comment'] ）中輸出數(shù)據(jù)時(shí)，請(qǐng)始終將其逃脫以防止XSS攻擊。

使用htmlspecialchars() ：

迴聲&#39;<p>&#39;。 htmlspecialchars（$ _ post [&#39;comment&#39;]，ent_quotes，&#39;utf-8&#39;）。 &#39;</p>&#39;;

此外，如果存儲(chǔ)在到達(dá)時(shí)進(jìn)行消毒輸入。例如，根據(jù)上下文，剝離或編碼HTML標(biāo)籤：

 $ clean_comment = filter_input（input_post，'comment'，filter_sanitize_string）;

注意： FILTER_SANITIZE_STRING截至php 8.1。對(duì)於較新的版本，請(qǐng)使用諸如htmlspecialchars()或HTML純化庫(kù)（例如HTML純化器）之類(lèi)的明確方法進(jìn)行豐富的內(nèi)容。

安全處理文件上傳和服務(wù)器數(shù)據(jù)

$_FILES和$_SERVER也是需要謹(jǐn)慎的超級(jí)全球。

• 對(duì)於文件上傳，永遠(yuǎn)不要相信$_FILES['name'] 。始終使用MIME檢測(cè)（不僅僅是擴(kuò)展）生成新的文件名並驗(yàn)證文件類(lèi)型。
• 使用$_SERVER ，避免在輸出或安全決策中直接使用HTTP_USER_AGENT或REMOTE_ADDR之類(lèi)的值，而無(wú)需審查。欺騙是常見(jiàn)的。

更安全的文件處理示例：

 $ uploadDir ='/uploads/';
$ filename = basename（$ _ files ['file'] ['name']）;
$ filepath = $ uploaddir。 uniqid（）。 '_'。 pathinfo（$ filename，pathinfo_extension）;

//驗(yàn)證MIME類(lèi)型
$ finfo = finfo_open（fileInfo_mime_type）;
$ mimeType = finfo_file（$ finfo，$ _files ['file'] ['tmp_name']）;
$ wasseTypes = ['image/jpeg'，'image/png'，'image/gif'];

if（in_array（$ mimeType，$ washeTypes））{
    move_uploaded_file（$ _文件['file'] ['tmp_name']，$ filepath）;
} 別的 {
    die（“無(wú)效文件類(lèi)型”）;
}

最佳實(shí)踐摘要

減輕超級(jí)全局輸入的漏洞：

• 始終使用PHP的過(guò)濾器功能或自定義邏輯來(lái)驗(yàn)證和消毒。
• 在數(shù)據(jù)庫(kù)查詢(xún)中使用準(zhǔn)備好的語(yǔ)句。
• 用htmlspecialchars()逃脫輸出以防止XSS。
• 永遠(yuǎn)不要相信安全執(zhí)行的$_SERVER值。
• 通過(guò)驗(yàn)證類(lèi)型和重命名文件，可以安全地上傳文件。
• 應(yīng)用最少特權(quán)的原則 - 僅接受您需要的東西，僅此而已。

基本上，將每個(gè)超級(jí)全球視為潛在的威脅向量。儘早且始終如一地對(duì)輸入進(jìn)行消毒，這不僅是良好的做法，對(duì)於構(gòu)建安全的PHP應(yīng)用程序至關(guān)重要。

以上是通過(guò)消毒超級(jí)全局輸入來(lái)緩解常見(jiàn)脆弱性的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！