PHP常见安全漏洞和防御措施

本文由 ChatMoney团队出品

sql注入

漏洞描述

当应用程序将用户输入直接拼接到sql语句中时，攻击者可以插入恶意sql代码来篡改原始查询，获取或破坏数据库信息。

防御措施

预处理语句

使用预处理语句可以有效防止sql注入，因为参数值不会被视为sql的一部分。

$stmt = $pdo->prepare('select * from users where username = :username');
$stmt->execute(['username' => $_post['username']]);

使用pdo或mysqli

确保使用pdo或mysqli扩展，并启用它们提供的模拟预处理功能。

转义输入

如果无法使用预处理语句，应至少对用户输入进行适当的转义。

$username = $db->real_escape_string($_post['username']);
$query = "select * from users where username = '$username'";

使用orm

对象关系映射（orm）工具通常提供内置的sql注入保护。

跨站脚本攻击（xss）

漏洞描述

攻击者通过在网站上注入恶意脚本，当其他用户浏览该网站时，这些脚本会被执行，可能导致信息泄露。

防御措施

过滤和转义输出

对所有的输出数据应用html实体编码或剥离标签。

echo htmlspecialchars($user_input, entry_tags, $charset);

内容安全策略（csp）

使用http头content-security-policy来限制浏览器加载页面时外部资源的权限。

使用http only cookie

设置cookie属性为httponly，以防止客户端脚本访问cookie。

setcookie('session_id', '...', httponly=>true);

跨站请求伪造（csrf）

漏洞描述

攻击者利用用户在其他选项卡或窗口中已认证的身份，诱导用户点击链接或访问站点，执行非预期的操作。

防御措施

使用csrf tokens

在表单中嵌入随机生成的、与用户会话关联的token，并在提交时验证这个token。

// 生成一个csrf token$_sssion['csrf_token'] = bin2hex(random_bytes(32));// 表单中添加token
<input type="hidden" name="csrf_token" value="<?php echo $_sssion['csrf_token']; ?>"
// 验证tokenif ($_post['csrf_token'] != $_sssion['csrf_token']) {// 拒绝请求
}

验证请求来源

检查http referer头部，确保请求来自合法的源。

同步操作确认

对于敏感操作，要求用户重新输入密码或进行二次验证。

文件上传漏洞

漏洞描述

用户可以上传恶意文件，如脚本文件，进而控制服务器或者利用文件包含漏洞执行远程代码。

防御措施

文件类型检查

只允许预定义的文件类型上传，并对文件扩展名进行检查。

$allowed_types = ['image/jpeg', 'image/png'];
$file_type = exif_imagetype($_files['upload']['tmp_name']);
if (!in_array($file_type, $allowed_types)) {// 拒绝上传
}