0

0

防止恶意请求怎么做_PHP高并发安全防护方法汇总【指南】

星夢妙者

星夢妙者

发布时间:2026-02-20 19:48:09

|

699人浏览过

|

来源于php中文网

原创

referer校验不靠谱,仅作辅助;限流必须用redis;filter_var不能防注入;识别扫描器应看请求特征而非ip。

防止恶意请求怎么做_php高并发安全防护方法汇总【指南】

$_SERVER['HTTP_REFERER'] 做 Referer 校验靠谱吗?

不靠谱,仅作辅助。Referer 完全由客户端控制,可被任意伪造或清空(比如浏览器禁用、cURL 不带、HTTPS 页面跳转到 HTTP 时自动丢失)。真实业务中见过大量攻击脚本直接设置 Referer: https://yourdomain.com 绕过校验。

如果非要加,只建议用于非关键场景(如静态资源防盗链),且必须配合其他手段:

  • 校验前先检查 $_SERVER['HTTP_REFERER'] 是否非空,再用 parse_url() 提取 host,避免 parse 错误
  • 用白名单匹配 host,不用 strpos() 模糊包含(防止 evil.com/yourdomain.com 这类绕过)
  • 绝不单独依赖它做登录、支付、删除等敏感操作的权限判断

限流该用 Redis 还是 PHP-FPM 内存?

必须用 Redis(或其它独立存储)。PHP-FPM 进程间内存不共享,apcu_inc()file_put_contents() 在多进程下会严重失准,实测 100 并发请求可能计数偏差 ±30% 以上。

推荐用 Redis 的原子操作实现滑动窗口或令牌桶:

立即学习PHP免费学习笔记(深入)”;

  • 滑动窗口:用 ZSET 存时间戳,ZCOUNT + ZREMRANGEBYSCORE 组合清理过期项
  • 令牌桶:用 INCR + EXPIRE 控制桶生命周期,注意 INCR 返回值要立即判断是否超限
  • 务必设置 key 过期时间(如 60 秒),否则 Redis 内存持续增长

示例片段(滑动窗口):

$key = 'rate:'.$ip.':'.date('YmdHi'); // 每分钟一个桶
$now = time();
$window = 60;
Redis::zAdd($key, $now, $now);
Redis::zRemRangeByScore($key, 0, $now - $window);
$count = Redis::zCard($key); // 实际请求数

为什么 filter_var($_POST['email'], FILTER_VALIDATE_EMAIL) 不能防注入?

它只校验邮箱格式是否合法,不处理特殊字符、编码绕过或上下文逃逸。攻击者完全可以用 admin%40example.com(URL 编码)、test@example.com%00(Null 字节截断)、甚至 admin@example.com" onclick="alert(1)(输出到 HTML 未转义时直接 XSS)。

Heeyo
Heeyo

Heeyo:AI儿童启蒙陪伴师,风靡于硅谷的儿童AI导师和玩伴

下载

防御要点在“上下文”:

  • 入库前:用 PDO 预处理(bindValue())或 mysqli_real_escape_string()(仅限 MySQL 且已弃用)
  • 输出到 HTML:用 htmlspecialchars($str, ENT_QUOTES, 'UTF-8')
  • 拼接 Shell 命令:绝对禁用 exec() 等函数,改用白名单参数封装
  • 邮箱本身无需过滤内容,但存储后若用于发信,需额外验证 MX 记录防垃圾注册

如何快速识别并拦截扫描器行为?

看请求特征比看 IP 更有效。真实用户极少在 1 秒内连续请求多个不存在路径(如 /phpmyadmin//wp-config.php/admin/login.php),也几乎不会用非常规 User-Agent(如 sqlmap/1.7nikto/2.1)。

可在入口统一中间件里做轻量级检测:

  • 统计 5 分钟内同一 IP 的 404 数量,超过 10 次且路径含常见扫描关键词(phpmyadminbackupconfig),临时封禁 1 小时(写入 Redis)
  • 对 User-Agent 包含 sqlmapnmapdirbuster 的请求直接返回 403
  • 记录异常请求日志(IP、UA、URI、时间),但别记录 POST body(隐私与性能风险)

注意:不要用 sleep() 或长耗时操作做“反爬”,高并发下反而拖垮服务。

最常被忽略的是「信任边界」——把 Nginx 的 $remote_addr 当成真实 IP 直接用,却没处理代理转发(X-Forwarded-For 可伪造)。真正要限流或封禁,得结合 $_SERVER['REMOTE_ADDR'] 和可信代理列表做层层校验。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
mysql修改数据表名
mysql修改数据表名

MySQL修改数据表:1、首先查看数据库中所有的表,代码为:‘SHOW TABLES;’;2、修改表名,代码为:‘ALTER TABLE 旧表名 RENAME [TO] 新表名;’。php中文网还提供MySQL的相关下载、相关课程等内容,供大家免费下载使用。

679

2023.06.20

MySQL创建存储过程
MySQL创建存储过程

存储程序可以分为存储过程和函数,MySQL中创建存储过程和函数使用的语句分别为CREATE PROCEDURE和CREATE FUNCTION。使用CALL语句调用存储过程智能用输出变量返回值。函数可以从语句外调用(通过引用函数名),也能返回标量值。存储过程也可以调用其他存储过程。php中文网还提供MySQL创建存储过程的相关下载、相关课程等内容,供大家免费下载使用。

372

2023.06.21

mongodb和mysql的区别
mongodb和mysql的区别

mongodb和mysql的区别:1、数据模型;2、查询语言;3、扩展性和性能;4、可靠性。本专题为大家提供mongodb和mysql的区别的相关的文章、下载、课程内容,供大家免费下载体验。

286

2023.07.18

mysql密码忘了怎么查看
mysql密码忘了怎么查看

MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS 应用软件之一。那么mysql密码忘了怎么办呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

519

2023.07.19

mysql创建数据库
mysql创建数据库

MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS 应用软件之一。那么mysql怎么创建数据库呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

263

2023.07.25

mysql默认事务隔离级别
mysql默认事务隔离级别

MySQL是一种广泛使用的关系型数据库管理系统,它支持事务处理。事务是一组数据库操作,它们作为一个逻辑单元被一起执行。为了保证事务的一致性和隔离性,MySQL提供了不同的事务隔离级别。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

392

2023.08.08

sqlserver和mysql区别
sqlserver和mysql区别

SQL Server和MySQL是两种广泛使用的关系型数据库管理系统。它们具有相似的功能和用途,但在某些方面存在一些显著的区别。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

537

2023.08.11

mysql忘记密码
mysql忘记密码

MySQL是一种关系型数据库管理系统,关系数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。那么忘记mysql密码我们该怎么解决呢?php中文网给大家带来了相关的教程以及其他关于mysql的文章,欢迎大家前来学习阅读。

638

2023.08.14

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

796

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PHP课程
PHP课程

共137课时 | 12.2万人学习

JavaScript ES5基础线上课程教学
JavaScript ES5基础线上课程教学

共6课时 | 11.3万人学习

PHP新手语法线上课程教学
PHP新手语法线上课程教学

共13课时 | 0.9万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号