应使用filter_input过滤输入、预处理语句防SQL注入、上下文敏感转义防XSS、CSRF令牌防伪造。具体包括:用FILTER_SANITIZE_FULL_SPECIAL_CHARS等过滤数据;PDO预处理绑定参数;HTML用htmlspecialchars、JS用json_encode、CSS用正则清洗;表单嵌入服务端生成的CSRF令牌并校验。
当用户通过HTML表单向PHP网站提交数据时,若未对输入内容进行有效验证和过滤,可能导致SQL注入、XSS攻击或命令执行等安全风险。以下是保障PHP表单数据处理安全的多种具体方法:
一、使用filter_input函数进行输入过滤
filter_input函数可直接从$_GET、$_POST等超全局数组中安全获取并过滤数据,避免手动访问$_POST导致的类型混淆或未定义索引错误。
1、在PHP脚本开头声明表单字段名,例如获取用户名字段user_name。
2、调用filter_input函数,指定INPUT_POST常量和FILTER_SANITIZE_STRING过滤器(PHP 8.1已弃用,应改用FILTER_SANITIZE_FULL_SPECIAL_CHARS)。
立即学习“PHP免费学习笔记(深入)”;
3、对数值型字段如age,使用FILTER_VALIDATE_INT验证是否为合法整数,并设置最小值与最大值范围限制。
4、对邮箱字段email,使用FILTER_VALIDATE_EMAIL验证格式合法性,并结合FILTER_SANITIZE_EMAIL去除非法字符。
二、预处理语句防止SQL注入
将用户输入直接拼接到SQL查询字符串中极易引发SQL注入攻击。使用PDO或MySQLi的预处理语句可确保参数与SQL逻辑分离,从根本上阻断注入路径。
1、创建PDO实例并启用PDO::ATTR_EMULATE_PREPARES为false,强制使用原生预处理。
2、编写含占位符的INSERT语句,如INSERT INTO users (name, email) VALUES (?, ?)。
3、调用prepare()方法生成PDOStatement对象,再使用execute()传入包含过滤后数据的数组。
4、对多字段表单,每个绑定参数都需经filter_input或filter_var二次校验后再传入execute()。
三、输出时进行上下文敏感转义
即使输入已过滤,若未经转义即输出到HTML页面,仍可能触发XSS攻击。必须根据输出位置选择对应转义方式,不能统一使用htmlspecialchars。
1、当数据插入HTML普通文本节点时,使用htmlspecialchars($data, ENT_QUOTES, 'UTF-8')。
2、当数据写入HTML属性值(如)时,同样使用htmlspecialchars,但需确保引号类型匹配属性包裹方式。
3、当数据嵌入JavaScript字符串中(如var msg = "..."),改用json_encode($data, JSON_UNESCAPED_UNICODE | JSON_HEX_TAG | JSON_HEX_AMP)。
4、当数据用于CSS内容(如style="color: ;"),仅允许白名单字符集,使用preg_replace('/[^a-zA-Z0-9#.\s]/', '', $color)严格清洗。
四、启用CSRF令牌防御跨站请求伪造
攻击者可在第三方站点构造隐藏表单,诱使已登录用户非自愿提交数据。CSRF令牌通过服务端生成唯一会话标识并比对,确保请求源自本域合法页面。
1、在表单页面生成随机令牌,存储于$_SESSION['csrf_token'],同时输出为隐藏字段php echo $_SESSION['csrf_token']; ?>">。
2、在表单处理脚本开头检查$_POST['token']是否存在且等于$_SESSION['csrf_token']。
3、验证通过后立即调用unset($_SESSION['csrf_token'])销毁令牌,防止重放。
4、若令牌缺失或不匹配,调用http_response_code(403)并exit,不执行后续任何业务逻辑。
五、限制文件上传类型与存储路径
文件上传功能若未加约束,可能被用于上传Webshell。必须从MIME类型、扩展名、文件头及存储位置四方面设防。
1、禁用$_FILES['file']['type']判断,改用finfo_open(FILEINFO_MIME_TYPE)读取真实MIME类型,并限定为image/jpeg、image/png等白名单。
2、提取上传文件扩展名,使用pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION),转换为小写后与白名单数组in_array()比对。
3、使用getimagesize()验证图像文件有效性,对非图像返回false并拒绝保存。
4、将上传文件保存至Web根目录之外的路径,如/var/www/uploads/,并通过rewrite规则或PHP读取接口提供访问,禁止直接HTTP访问。
