PHP应用安全核心是堵住常见漏洞入口,需严格验证输入、使用预处理防SQL注入、按输出上下文选择转义方式、限制文件操作并关闭危险函数。
PHP应用安全的核心在于堵住常见漏洞入口,而不是堆砌复杂防护。大多数被攻破的网站,问题出在基础配置和编码习惯上。
输入验证不能只靠前端
用户提交的数据永远不可信,前端JS校验只是提升体验,后端必须重做验证。比如手机号、邮箱、数字范围等,要用PHP内置函数严格过滤。
用 filter_var() 处理邮箱、URL、IP等标准格式,别自己写正则判断整数用 filter_var($input, FILTER_VALIDATE_INT),带范围限制加 options 参数字符串长度、字符集限制用 mb_strlen() 和 mb_ereg()(或 preg_match + u修饰符)所有 $_GET、$_POST、$_cookie、$_FILES 数据,进入业务逻辑前必须经过验证或转义SQL注入:预处理是唯一靠谱方案
拼接SQL字符串(哪怕用了 addslashes() 或 mysql_real_escape_string())都算裸奔。PDO 或 MySQLi 的预处理语句才是标准解法。
PDO 示例:$stmt = $pdo->prepare("SELECt * FROM users WHERe id = ?"); $stmt->execute([$id]);命名参数更清晰:$stmt = $pdo->prepare("SELECt * FROM posts WHERe status = :status"); $stmt->execute(['status' => 'publish']);不要用 mysql_* 函数(已废弃),也不要用 mysqli_query() 拼接变量动态表名/字段名无法预处理,需白名单校验:in_array($table, ['users', 'posts'], true) ? $table : 'users';输出上下文决定转义方式
同一段数据,在HTML、JS、CSS、URL、Shell中含义不同,错误的转义等于没转义。
Waifulabs 一键生成动漫二次元头像和插图
347 查看详情 
立即学习“PHP免费学习笔记(深入)”;
HTML内容用 htmlspecialchars($str, ENT_QUOTES | ENT_HTML5, 'UTF-8')JS字符串内嵌用 json_encode($str, JSON_UNESCAPED_UNICODE | JSON_HEX_TAG),再包单引号URL参数值用 urlencode(),不是 rawurlencode()(除非明确需要)命令行调用(如 exec())必须用 escapeshellarg(),且优先考虑不用 shell模板引擎(Twig、Blade)默认开启自动转义,但需确认是否关闭了某些变量的转义文件操作与权限要克制
上传、包含、写入文件是高危操作,每一步都要设限。
上传文件不直接信任 $_FILES['file']['type'],用 finfo_file() 检查真实MIME类型保存路径避开 web 可访问目录,或用 .htaccess / nginx 配置禁止执行 PHPinclude/require 动态文件名必须白名单控制,禁用用户可控路径拼接敏感配置文件(如数据库密码)不要放在 webroot 下,.env 文件应禁止 HTTP 访问PHP配置中关闭危险函数:disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source基本上就这些。不复杂,但容易忽略。安全不是加一层防火墙,而是把每个数据入口和出口都看作一道门,亲手检查锁好了没有。
以上就是PHP安全加固基础指南_PHP避免常见安全漏洞说明的详细内容,更多请关注php中文网其它相关文章!
