PHP表单安全性策略：使用Suhosin PHP扩展

王林

发布时间：2023-06-24 09:07:39

1290人浏览过

来源于php中文网

原创

随着互联网技术的迅速发展，网络安全问题也日益引起人们的关注。web应用程序作为一种广泛应用的网络应用，其安全性问题也备受关注。web应用程序中的表单是连接用户与后端数据库交互的重要组成部分，而其安全性问题也是web应用程序攻击者攻击的首要目标。本文将介绍如何通过使用suhosin php扩展来提高表单的安全性。

一、什么是Suhosin PHP扩展

Suhosin是一款PHP的安全增强扩展，由Hardened-PHP开发。它包含了一系列安全性扩展和增强措施，旨在提高PHP的安全性。Suhosin扩展可以扩展PHP功能以提高其安全性，在许多安全漏洞方面提供了额外的保护。例如：保护表单和上传，防止SQL注入和跨站点脚本攻击等。

二、如何安装Suhosin PHP扩展

Suhosin可作为PHP扩展使用，因此要启用它，可以通过以下步骤进行安装：

立即学习“PHP免费学习笔记（深入）”；

下载Suhosin扩展，可在其官网（https://suhosin.org/stories/index.html）或Github（https://github.com/stefanesser/suhosin）上下载。
将下载的文件解压后，进入其中的文件夹。
运行phpize命令，生成configure脚本。phpize命令需要先安装php-dev包。
运行configure，生成Makefile。
运行make，编译Suhosin扩展。
运行make install，安装Suhosin扩展。
在php.ini文件中的扩展部分添加suhosin.so扩展的加载。

以上是Suhosin扩展的安装方法，有的服务器可能不能使用命令来进行如上的操作。在这种情况下，建议寻求系统管理员或应用程序开发人员的帮助。

三、Suhosin扩展能提供什么安全保护

Suhosin可以提供许多安全保护来保护表单提交和处理交互数据的安全性。下面列举几项：

增强表单提交

Suhosin可以增强表单提交的安全性。例如，它可以限制提交表单的大小，在数据提交中只允许使用HTTP POST方法，限制上传文件大小等。

防止SQL注入

Suhosin可以防止SQL注入。该扩展可以检测和防止可疑字符的使用，例如在提交数据中防止使用高危字符，如“'”和“%”，并使用SQL注入攻击的实现方式。

防止跨站点脚本攻击

Suhosin可以防止跨站点脚本攻击。对于可以被看作跨站脚本攻击的输入数据进行过滤并拒绝执行。例如，如果输入表单包含HTML标记，Suhosin可以拒绝这些标记的执行。

DouPHP轻量级外贸商城系统

DouPHP模块化企业网站管理系统是一款轻量级企业网站管理系统，基于PHP+MYSQL架构的，包含“手机版”、“公众号管理模块”、“小程序”，可以使用它快速搭建一个企业网站。 DouPHP功能特色：（模块全部免费，一键安装）功能性模块：防伪查询模块、投票模块、自定义表单模块、工单模块等、会员模块、订单模块、视频模块、下载模块、图片模块等；企业官网模块：业务范围

下载

基于回调的安全控制

Suhosin可以检测并拒绝至关重要的操作。例如，Suhosin可以拒绝PHP的eval()函数和preg_replace()的e修饰符，从而防止PHP代码注入攻击和PHP代码执行器攻击的实现。

四、如何使用Suhosin增强表单提交

如果服务器上安装了Suhosin扩展，则可以使用以下方法增强表单提交的安全性：

设定max_post_vars

在php.ini文件中，可以添加max_post_vars项，限制POST数据的数量。例如，如果将max_post_vars设置为1000，则将允许的POST数据数量增加到1000个。建议值为1000。

设定max_input_vars

同样，在php.ini文件中，可以添加max_input_vars项，限制输入数据的数量。例如，如果将max_input_vars设置为1000，则将允许的输入数据数量上限增加到1000个。建议值为1000。

使用filter_input函数

使用PHP的filter_input函数来过滤输入数据，避免XSS和SQL注入攻击。使用该函数可以保护输入数据，避免攻击者通过输入恶意数据来执行攻击。例如，以下代码可以使用filter_input函数对POST数据进行过滤：$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_SPECIAL_CHARS);