答案:PHP安全需从输入验证、权限控制等方面入手,使用预处理语句防SQL注入,输出转义防XSS,白名单防文件包含,安全配置会话与密码,并关闭危险函数和错误显示。
PHP代码安全性加固需要从输入验证、数据处理、权限控制和服务器配置等多方面入手。很多安全问题源于开发过程中对用户输入的忽视或对敏感操作缺乏防护。下面从常见漏洞出发,提供实用的修复与优化建议。
防止SQL注入攻击
SQL注入是最常见的Web安全漏洞之一,攻击者通过构造恶意SQL语句获取数据库信息。
建议:- 使用预处理语句(Prepared Statements)配合PDO或MySQLi。例如:
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$userId]);
- 避免拼接SQL字符串,尤其是来自用户输入的数据。
- 对数据库账号进行权限限制,不使用root或高权限账户连接数据库。
防御跨站脚本(XSS)攻击
XSS允许攻击者在页面中注入恶意脚本,窃取用户Cookie或执行非法操作。
建议:- 输出到HTML前对内容进行转义:
echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
立即学习“PHP免费学习笔记(深入)”;
- 设置HTTP头部增强防护:
header("X-XSS-Protection: 1; mode=block");
header("Content-Security-Policy: default-src 'self';");
- 对富文本内容使用专门的过滤库,如HTML Purifier。
防止文件包含与上传漏洞
不安全的文件包含(如include($_GET['page']))可能导致远程代码执行。
建议:
- 避免动态包含用户可控的文件路径。
- 若必须包含,使用白名单机制:
$allowed = ['home.php', 'about.php'];
$page = $_GET['page'] ?? 'home.php';
if (in_array($page, $allowed)) { include $page; }
- 文件上传时检查类型、扩展名、MIME类型,并将上传目录设为不可执行PHP。
- 重命名上传文件,避免使用原始文件名。
会话与身份验证安全
会话固定、弱密码、未加密传输等问题可能造成账户被盗。
建议:- 登录成功后重新生成Session ID:
session_start();
$_SESSION['user'] = $username;
session_regenerate_id(true);
- 设置安全的Cookie参数:
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_secure', 1); // HTTPS环境下启用
ini_set('session.use_strict_mode', 1);
- 密码使用password_hash()和password_verify()存储与验证。
代码与服务器层面优化
良好的配置能大幅降低被攻击风险。
建议:- 关闭错误信息显示,记录到日志:
display_errors = Off
log_errors = On
- 禁用危险函数,如eval、exec、system,在php.ini中设置:
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,eval
- 确保PHP版本为最新稳定版,及时修补已知漏洞。
- 使用Web应用防火墙(WAF)作为额外防护层。
基本上就这些。安全不是一劳永逸的事,定期审计代码、更新依赖、监控异常行为同样重要。养成安全编码习惯,比事后补救更有效。
