过滤用户输入可降低SQL注入、XSS等风险,核心是对$_GET、$_POST、$_COOKIE处理。使用filter_var()进行通用过滤,如FILTER_SANITIZE_STRING、FILTER_VALIDATE_EMAIL;防SQL注入应使用预处理语句(PDO/MySQLi);防XSS需用htmlspecialchars()输出转义;富文本用HTMLPurifier净化;CSRF防护通过CSRF Token、SameSite Cookie等实现;同时需合理配置PHP安全选项,如禁用危险函数、关闭display_errors、限制文件上传、使用最新版本等。
直接说吧,PHP过滤用户输入,是为了防止各种攻击,比如SQL注入、XSS等等。别想着完全杜绝,但做好过滤能大大降低风险。
解决方案
PHP里过滤用户输入,核心就是对
$_GET
、
$_POST
、
$_COOKIE
这些超全局变量进行处理。
-
通用过滤:
filter_var()
立即学习“PHP免费学习笔记(深入)”;
这函数相当强大,可以针对不同类型的数据进行过滤。
-
FILTER_SANITIZE_STRING
: 移除 HTML 标签,编码特殊字符。但注意,它不适合所有场景,比如需要保留某些HTML标签的情况。
$input = "
Hello, World!
";$filtered = filter_var($input, FILTER_SANITIZE_STRING);echo $filtered; // 输出: Hello, World! -
FILTER_VALIDATE_EMAIL
: 验证邮箱格式。
$email = "test@example.com";if (filter_var($email, FILTER_VALIDATE_EMAIL)) { echo "邮箱格式正确";} else { echo "邮箱格式错误";} -
FILTER_SANITIZE_NUMBER_INT
: 移除所有字符,除了数字和
+-
。
$number = "123abc456";$filtered = filter_var($number, FILTER_SANITIZE_NUMBER_INT);echo $filtered; // 输出: 123456
-
-
针对SQL注入:预处理语句 (Prepared Statements)
别再手动拼接SQL语句了!预处理语句才是王道。PDO或MySQLi都支持。
// PDO 示例$dsn = "mysql:host=localhost;dbname=mydb";$username = "user";$password = "password";try { $pdo = new PDO($dsn, $username, $password); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?"); $stmt->execute([$_POST['username'], $_POST['password']]); $user = $stmt->fetch(); if ($user) { echo "登录成功"; } else { echo "登录失败"; }} catch (PDOException $e) { echo "连接失败: " . $e->getMessage();}预处理语句的优势在于,SQL语句结构和数据是分开的,数据库会先编译SQL结构,然后再把数据放进去。这样,即使你的数据里包含SQL关键字,也不会被当成SQL语句执行。
-
针对XSS:
htmlspecialchars()
这个函数能把HTML特殊字符转义,比如
<
转成
<
,
>
转成
>
。 这样,用户输入的内容就不会被浏览器当成HTML代码执行。
$input = "alert('XSS');";$filtered = htmlspecialchars($input);echo $filtered; // 输出: alert('XSS');记住,
htmlspecialchars()
是在输出的时候用,而不是输入的时候。 因为输入的时候转义了,存到数据库里,再取出来显示,就乱码了。
-
白名单验证
对于一些特定的输入,比如颜色、尺寸,最好使用白名单验证。 只允许特定的值通过。
$color = $_POST['color'];$allowed_colors = ['red', 'green', 'blue'];if (in_array($color, $allowed_colors)) { echo "你选择了颜色: " . $color;} else { echo "无效的颜色";} -
其他小技巧
-
trim()
: 移除字符串首尾的空白字符。
stripslashes()
: 移除反斜杠。 但现在一般不用,因为PHP配置里可以设置自动转义。
-
PHP如何处理富文本编辑器中的用户输入?
富文本编辑器允许用户输入带格式的文本,比如加粗、斜体、链接等等。 这给XSS攻击提供了更多可能性。
-
使用专门的库
不要自己写过滤规则! 用成熟的HTML净化库,比如HTMLPurifier。 它能根据配置,移除不安全的HTML标签和属性,保留安全的。
require_once 'HTMLPurifier.auto.php';$config = HTMLPurifier_Config::createDefault();$purifier = new HTMLPurifier($config);$dirty_html = $_POST['content'];$clean_html = $purifier->purify($dirty_html);echo $clean_html;
-
配置HTMLPurifier
HTMLPurifier的默认配置可能过于严格,你需要根据实际需求进行调整。 比如,允许
@@##@@
标签,允许
class
属性等等。
$config = HTMLPurifier_Config::createDefault();$config->set('HTML.Allowed', 'p,b,i,a[href],img[src]');$config->set('Attr.AllowedClasses', ['my-class']);$purifier = new HTMLPurifier($config); 输出时再次转义
即使经过HTMLPurifier处理,在输出的时候,最好还是用
htmlspecialchars()
转义一下。 多一层保护总是好的。
如何防止CSRF攻击?
CSRF (Cross-Site Request Forgery) 攻击是指,攻击者伪造用户请求,以用户的身份执行操作。 比如,用户登录了银行网站,攻击者诱骗用户点击一个链接,这个链接会向银行网站发起转账请求。
-
使用CSRF Token
在每个表单里,都生成一个随机的token,保存在session里。 提交表单的时候,验证token是否一致。
session_start();function generate_csrf_token() { return bin2hex(random_bytes(32));}if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = generate_csrf_token();}// 在表单里echo '';// 提交表单时if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) { die("CSRF 攻击!");} -
验证HTTP Referer
检查HTTP Referer头部,看请求是否来自自己的网站。 但这个方法不靠谱,因为Referer可以被伪造。 只能作为辅助手段。
-
使用SameSite Cookie
SameSite Cookie可以限制Cookie的发送范围,防止跨站请求携带Cookie。
setcookie('my_cookie', 'value', ['samesite' => 'Strict']); // 或 'Lax'-
Strict
: Cookie只会在同站请求中发送。
Lax
: Cookie会在同站请求和部分跨站请求中发送,比如点击链接。
-
PHP安全配置还有哪些需要注意的?
除了过滤用户输入,PHP的安全配置也很重要。
-
禁用危险函数
在
php.ini
里,用
disable_functions
指令禁用一些危险函数,比如
eval()
、
system()
、
exec()
等等。 这些函数可以执行任意代码,很容易被利用。
disable_functions = eval,system,exec,shell_exec,passthru,phpinfo
-
关闭
display_errors
在生产环境里,不要显示错误信息。 错误信息可能会泄露敏感信息,比如数据库密码、文件路径等等。 把错误信息记录到日志里。
display_errors = Offlog_errors = Onerror_log = /path/to/php_errors.log
-
限制文件上传大小
在
php.ini
里,用
upload_max_filesize
和
post_max_size
指令限制文件上传大小。 防止上传过大的文件,导致服务器崩溃。
upload_max_filesize = 2Mpost_max_size = 8M
-
使用最新的PHP版本
PHP官方会定期发布安全更新,修复已知的漏洞。 保持PHP版本最新,可以避免被已知的漏洞攻击。
-
设置open_basedir
使用
open_basedir
指令限制PHP可以访问的文件目录。这可以防止恶意脚本访问敏感文件。
open_basedir = /var/www/html:/tmp
记住,安全是一个持续的过程,需要不断学习和更新。没有绝对的安全,只有相对的安全。
以上就是PHP如何过滤用户输入_PHP用户输入安全过滤方法详解的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1294660.html
微信扫一扫 
支付宝扫一扫 
