PHP输入过滤技巧与安全防护方法

在PHP开发中，保障用户输入安全至关重要。本文深入探讨了PHP用户输入过滤的各种技巧与安全方法，旨在降低SQL注入、XSS跨站脚本攻击等安全风险。核心在于对`$_GET`、`$_POST`、`$_COOKIE`等超全局变量进行有效处理，利用`filter_var()`进行通用数据过滤和验证，例如移除HTML标签、验证邮箱格式等。针对SQL注入，推荐使用预处理语句（PDO/MySQLi）来避免直接拼接SQL。针对XSS攻击，`htmlspecialchars()`函数可在输出时进行转义。同时，文章还介绍了富文本编辑器输入的安全处理方案，以及如何通过CSRF Token、SameSite Cookie等机制防范CSRF攻击。此外，本文还强调了PHP安全配置的重要性，如禁用危险函数、关闭错误显示、限制文件上传大小、并保持PHP版本更新，以构建更安全的Web应用。

过滤用户输入可降低SQL注入、XSS等风险，核心是对$_GET、$_POST、$_COOKIE处理。使用filter_var()进行通用过滤，如FILTER_SANITIZE_STRING、FILTER_VALIDATE_EMAIL；防SQL注入应使用预处理语句（PDO/MySQLi）；防XSS需用htmlspecialchars()输出转义；富文本用HTMLPurifier净化；CSRF防护通过CSRF Token、SameSite Cookie等实现；同时需合理配置PHP安全选项，如禁用危险函数、关闭display_errors、限制文件上传、使用最新版本等。

直接说吧，PHP过滤用户输入，是为了防止各种攻击，比如SQL注入、XSS等等。别想着完全杜绝，但做好过滤能大大降低风险。

解决方案

PHP里过滤用户输入，核心就是对$_GET、$_POST、$_COOKIE这些超全局变量进行处理。

1. 通用过滤：filter_var()

   这函数相当强大，可以针对不同类型的数据进行过滤。

   • FILTER_SANITIZE_STRING: 移除 HTML 标签，编码特殊字符。但注意，它不适合所有场景，比如需要保留某些HTML标签的情况。

     $input = "<p>Hello, <b>World!</b></p>";
     $filtered = filter_var($input, FILTER_SANITIZE_STRING);
     echo $filtered; // 输出: Hello, World!

   • FILTER_VALIDATE_EMAIL: 验证邮箱格式。

     $email = "test@example.com";
     if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
         echo "邮箱格式正确";
     } else {
         echo "邮箱格式错误";
     }

   • FILTER_SANITIZE_NUMBER_INT: 移除所有字符，除了数字和+-。

     $number = "123abc456";
     $filtered = filter_var($number, FILTER_SANITIZE_NUMBER_INT);
     echo $filtered; // 输出: 123456

2. 针对SQL注入：预处理语句 (Prepared Statements)

   别再手动拼接SQL语句了！预处理语句才是王道。PDO或MySQLi都支持。

   // PDO 示例
   $dsn = "mysql:host=localhost;dbname=mydb";
   $username = "user";
   $password = "password";
   
   try {
       $pdo = new PDO($dsn, $username, $password);
       $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   
       $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
       $stmt->execute([$_POST['username'], $_POST['password']]);
   
       $user = $stmt->fetch();
   
       if ($user) {
           echo "登录成功";
       } else {
           echo "登录失败";
       }
   
   } catch (PDOException $e) {
       echo "连接失败: " . $e->getMessage();
   }

   预处理语句的优势在于，SQL语句结构和数据是分开的，数据库会先编译SQL结构，然后再把数据放进去。这样，即使你的数据里包含SQL关键字，也不会被当成SQL语句执行。

3. 针对XSS：htmlspecialchars()

   这个函数能把HTML特殊字符转义，比如<转成<，>转成>。 这样，用户输入的内容就不会被浏览器当成HTML代码执行。

   $input = "<script>alert('XSS');</script>";
   $filtered = htmlspecialchars($input);
   echo $filtered; // 输出: &lt;script&gt;alert('XSS');&lt;/script&gt;

   记住，htmlspecialchars()是在输出的时候用，而不是输入的时候。 因为输入的时候转义了，存到数据库里，再取出来显示，就乱码了。

4. 白名单验证

   对于一些特定的输入，比如颜色、尺寸，最好使用白名单验证。 只允许特定的值通过。

   $color = $_POST['color'];
   $allowed_colors = ['red', 'green', 'blue'];
   
   if (in_array($color, $allowed_colors)) {
       echo "你选择了颜色: " . $color;
   } else {
       echo "无效的颜色";
   }

5. 其他小技巧

   • trim(): 移除字符串首尾的空白字符。
   • stripslashes(): 移除反斜杠。 但现在一般不用，因为PHP配置里可以设置自动转义。

PHP如何处理富文本编辑器中的用户输入？

富文本编辑器允许用户输入带格式的文本，比如加粗、斜体、链接等等。 这给XSS攻击提供了更多可能性。

1. 使用专门的库

   不要自己写过滤规则！ 用成熟的HTML净化库，比如HTMLPurifier。 它能根据配置，移除不安全的HTML标签和属性，保留安全的。

   require_once 'HTMLPurifier.auto.php';
   
   $config = HTMLPurifier_Config::createDefault();
   $purifier = new HTMLPurifier($config);
   
   $dirty_html = $_POST['content'];
   $clean_html = $purifier->purify($dirty_html);
   
   echo $clean_html;

2. 配置HTMLPurifier

   HTMLPurifier的默认配置可能过于严格，你需要根据实际需求进行调整。 比如，允许标签，允许class属性等等。

   $config = HTMLPurifier_Config::createDefault();
   $config->set('HTML.Allowed', 'p,b,i,a[href],img[src]');
   $config->set('Attr.AllowedClasses', ['my-class']);
   $purifier = new HTMLPurifier($config);

3. 输出时再次转义

   即使经过HTMLPurifier处理，在输出的时候，最好还是用htmlspecialchars()转义一下。 多一层保护总是好的。

如何防止CSRF攻击？

CSRF (Cross-Site Request Forgery) 攻击是指，攻击者伪造用户请求，以用户的身份执行操作。 比如，用户登录了银行网站，攻击者诱骗用户点击一个链接，这个链接会向银行网站发起转账请求。

1. 使用CSRF Token

   在每个表单里，都生成一个随机的token，保存在session里。 提交表单的时候，验证token是否一致。

   session_start();
   
   function generate_csrf_token() {
       return bin2hex(random_bytes(32));
   }
   
   if (empty($_SESSION['csrf_token'])) {
       $_SESSION['csrf_token'] = generate_csrf_token();
   }
   
   // 在表单里
   echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
   
   // 提交表单时
   if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
       die("CSRF 攻击!");
   }

2. 验证HTTP Referer

   检查HTTP Referer头部，看请求是否来自自己的网站。 但这个方法不靠谱，因为Referer可以被伪造。 只能作为辅助手段。

3. 使用SameSite Cookie

   SameSite Cookie可以限制Cookie的发送范围，防止跨站请求携带Cookie。

   setcookie('my_cookie', 'value', ['samesite' => 'Strict']); // 或 'Lax'

   • Strict: Cookie只会在同站请求中发送。
   • Lax: Cookie会在同站请求和部分跨站请求中发送，比如点击链接。

PHP安全配置还有哪些需要注意的？

除了过滤用户输入，PHP的安全配置也很重要。

1. 禁用危险函数

   在php.ini里，用disable_functions指令禁用一些危险函数，比如eval()、system()、exec()等等。 这些函数可以执行任意代码，很容易被利用。

   disable_functions = eval,system,exec,shell_exec,passthru,phpinfo

2. 关闭display_errors

   在生产环境里，不要显示错误信息。 错误信息可能会泄露敏感信息，比如数据库密码、文件路径等等。 把错误信息记录到日志里。

   display_errors = Off
   log_errors = On
   error_log = /path/to/php_errors.log

3. 限制文件上传大小

   在php.ini里，用upload_max_filesize和post_max_size指令限制文件上传大小。 防止上传过大的文件，导致服务器崩溃。

   upload_max_filesize = 2M
   post_max_size = 8M

4. 使用最新的PHP版本

   PHP官方会定期发布安全更新，修复已知的漏洞。 保持PHP版本最新，可以避免被已知的漏洞攻击。

5. 设置open_basedir

   使用 open_basedir 指令限制PHP可以访问的文件目录。这可以防止恶意脚本访问敏感文件。

   open_basedir = /var/www/html:/tmp

记住，安全是一个持续的过程，需要不断学习和更新。没有绝对的安全，只有相对的安全。

理论要掌握，实操不能落！以上关于《PHP输入过滤技巧与安全防护方法》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！