过滤用户输入可降低SQL注入、XSS等风险,核心是对$_GET、$_POST、$_COOKIE处理。使用filter_var()进行通用过滤,如FILTER_SANITIZE_STRING、FILTER_VALIDATE_EMAIL;防SQL注入应使用预处理语句(PDO/MySQLi);防XSS需用htmlspecialchars()输出转义;富文本用HTMLPurifier净化;CSRF防护通过CSRF Token、SameSite Cookie等实现;同时需合理配置PHP安全选项,如禁用危险函数、关闭display_errors、限制文件上传、使用最新版本等。
直接说吧,PHP过滤用户输入,是为了防止各种攻击,比如SQL注入、XSS等等。别想着完全杜绝,但做好过滤能大大降低风险。
解决方案
PHP里过滤用户输入,核心就是对
$_GET、
$_POST、
$_COOKIE这些超全局变量进行处理。
-
通用过滤:
filter_var()
立即学习“PHP免费学习笔记(深入)”;
这函数相当强大,可以针对不同类型的数据进行过滤。
-
FILTER_SANITIZE_STRING
: 移除 HTML 标签,编码特殊字符。但注意,它不适合所有场景,比如需要保留某些HTML标签的情况。$input = "
Hello, World!
"; $filtered = filter_var($input, FILTER_SANITIZE_STRING); echo $filtered; // 输出: Hello, World! -
FILTER_VALIDATE_EMAIL
: 验证邮箱格式。$email = "test@example.com"; if (filter_var($email, FILTER_VALIDATE_EMAIL)) { echo "邮箱格式正确"; } else { echo "邮箱格式错误"; } -
FILTER_SANITIZE_NUMBER_INT
: 移除所有字符,除了数字和+-
。$number = "123abc456"; $filtered = filter_var($number, FILTER_SANITIZE_NUMBER_INT); echo $filtered; // 输出: 123456
-
-
针对SQL注入:预处理语句 (Prepared Statements)
别再手动拼接SQL语句了!预处理语句才是王道。PDO或MySQLi都支持。
// PDO 示例 $dsn = "mysql:host=localhost;dbname=mydb"; $username = "user"; $password = "password"; try { $pdo = new PDO($dsn, $username, $password); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?"); $stmt->execute([$_POST['username'], $_POST['password']]); $user = $stmt->fetch(); if ($user) { echo "登录成功"; } else { echo "登录失败"; } } catch (PDOException $e) { echo "连接失败: " . $e->getMessage(); }预处理语句的优势在于,SQL语句结构和数据是分开的,数据库会先编译SQL结构,然后再把数据放进去。这样,即使你的数据里包含SQL关键字,也不会被当成SQL语句执行。
-
针对XSS:
htmlspecialchars()
这个函数能把HTML特殊字符转义,比如
<
转成zuojiankuohaophpcn
,>
转成youjiankuohaophpcn
。 这样,用户输入的内容就不会被浏览器当成HTML代码执行。$input = ""; $filtered = htmlspecialchars($input); echo $filtered; // 输出: zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('XSS');zuojiankuohaophpcn/scriptyoujiankuohaophpcn记住,
htmlspecialchars()
是在输出的时候用,而不是输入的时候。 因为输入的时候转义了,存到数据库里,再取出来显示,就乱码了。 -
白名单验证
对于一些特定的输入,比如颜色、尺寸,最好使用白名单验证。 只允许特定的值通过。
$color = $_POST['color']; $allowed_colors = ['red', 'green', 'blue']; if (in_array($color, $allowed_colors)) { echo "你选择了颜色: " . $color; } else { echo "无效的颜色"; } -
其他小技巧
trim()
: 移除字符串首尾的空白字符。stripslashes()
: 移除反斜杠。 但现在一般不用,因为PHP配置里可以设置自动转义。
PHP如何处理富文本编辑器中的用户输入?
富文本编辑器允许用户输入带格式的文本,比如加粗、斜体、链接等等。 这给XSS攻击提供了更多可能性。
-
使用专门的库
不要自己写过滤规则! 用成熟的HTML净化库,比如HTMLPurifier。 它能根据配置,移除不安全的HTML标签和属性,保留安全的。
require_once 'HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); $purifier = new HTMLPurifier($config); $dirty_html = $_POST['content']; $clean_html = $purifier->purify($dirty_html); echo $clean_html;
-
配置HTMLPurifier
HTMLPurifier的默认配置可能过于严格,你需要根据实际需求进行调整。 比如,允许
@@##@@
标签,允许class
属性等等。$config = HTMLPurifier_Config::createDefault(); $config->set('HTML.Allowed', 'p,b,i,a[href],img[src]'); $config->set('Attr.AllowedClasses', ['my-class']); $purifier = new HTMLPurifier($config); -
输出时再次转义
即使经过HTMLPurifier处理,在输出的时候,最好还是用
htmlspecialchars()
转义一下。 多一层保护总是好的。
如何防止CSRF攻击?
CSRF (Cross-Site Request Forgery) 攻击是指,攻击者伪造用户请求,以用户的身份执行操作。 比如,用户登录了银行网站,攻击者诱骗用户点击一个链接,这个链接会向银行网站发起转账请求。
-
使用CSRF Token
在每个表单里,都生成一个随机的token,保存在session里。 提交表单的时候,验证token是否一致。
session_start(); function generate_csrf_token() { return bin2hex(random_bytes(32)); } if (empty($_SESSION['csrf_token'])) { $_SESSION['csrf_token'] = generate_csrf_token(); } // 在表单里 echo ''; // 提交表单时 if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) { die("CSRF 攻击!"); } -
验证HTTP Referer
检查HTTP Referer头部,看请求是否来自自己的网站。 但这个方法不靠谱,因为Referer可以被伪造。 只能作为辅助手段。
-
使用SameSite Cookie
SameSite Cookie可以限制Cookie的发送范围,防止跨站请求携带Cookie。
setcookie('my_cookie', 'value', ['samesite' => 'Strict']); // 或 'Lax'Strict
: Cookie只会在同站请求中发送。Lax
: Cookie会在同站请求和部分跨站请求中发送,比如点击链接。
PHP安全配置还有哪些需要注意的?
除了过滤用户输入,PHP的安全配置也很重要。
-
禁用危险函数
在
php.ini
里,用disable_functions
指令禁用一些危险函数,比如eval()
、system()
、exec()
等等。 这些函数可以执行任意代码,很容易被利用。disable_functions = eval,system,exec,shell_exec,passthru,phpinfo
-
关闭
display_errors
在生产环境里,不要显示错误信息。 错误信息可能会泄露敏感信息,比如数据库密码、文件路径等等。 把错误信息记录到日志里。
display_errors = Off log_errors = On error_log = /path/to/php_errors.log
-
限制文件上传大小
在
php.ini
里,用upload_max_filesize
和post_max_size
指令限制文件上传大小。 防止上传过大的文件,导致服务器崩溃。upload_max_filesize = 2M post_max_size = 8M
-
使用最新的PHP版本
PHP官方会定期发布安全更新,修复已知的漏洞。 保持PHP版本最新,可以避免被已知的漏洞攻击。
-
设置open_basedir
使用
open_basedir
指令限制PHP可以访问的文件目录。这可以防止恶意脚本访问敏感文件。open_basedir = /var/www/html:/tmp
记住,安全是一个持续的过程,需要不断学习和更新。没有绝对的安全,只有相对的安全。
