php应用安全核心是堵住常见漏洞入口,需严格验证输入、使用预处理防sql注入、按输出上下文选择转义方式、限制文件操作并关闭危险函数。
PHP应用安全的核心在于堵住常见漏洞入口,而不是堆砌复杂防护。大多数被攻破的网站,问题出在基础配置和编码习惯上。
输入验证不能只靠前端
用户提交的数据永远不可信,前端js校验只是提升体验,后端必须重做验证。比如手机号、邮箱、数字范围等,要用PHP内置函数严格过滤。
- 用 filter_var() 处理邮箱、URL、IP等标准格式,别自己写正则判断
- 整数用 filter_var($input, FILTER_VALIDATE_INT),带范围限制加 options 参数
- 字符串长度、字符集限制用 mb_strlen() 和 mb_ereg()(或 preg_match + u修饰符)
- 所有 $_GET、$_POST、$_cookie、$_FILES 数据,进入业务逻辑前必须经过验证或转义
SQL注入:预处理是唯一靠谱方案
拼接SQL字符串(哪怕用了 addslashes() 或 mysql_real_escape_string())都算裸奔。pdo 或 mysqli 的预处理语句才是标准解法。
- PDO 示例:$stmt = $pdo->prepare(“SELECT * FROM users WHERE id = ?”); $stmt->execute([$id]);
- 命名参数更清晰:$stmt = $pdo->prepare(“SELECT * FROM posts WHERE status = :status”); $stmt->execute([‘status’ => ‘publish’]);
- 不要用 mysql_* 函数(已废弃),也不要用 mysqli_query() 拼接变量
- 动态表名/字段名无法预处理,需白名单校验:in_array($table, [‘users’, ‘posts’], true) ? $table : ‘users’;
输出上下文决定转义方式
同一段数据,在html、JS、css、URL、Shell中含义不同,错误的转义等于没转义。
立即学习“PHP免费学习笔记(深入)”;
- HTML内容用 htmlspecialchars($str, ENT_QUOTES | ENT_html5, ‘UTF-8’)
- JS字符串内嵌用 json_encode($str, json_UNESCAPED_UNICODE | JSON_HEX_TAG),再包单引号
- URL参数值用 urlencode(),不是 rawurlencode()(除非明确需要)
- 命令行调用(如 exec())必须用 escapeshellarg(),且优先考虑不用 shell
- 模板引擎(Twig、Blade)默认开启自动转义,但需确认是否关闭了某些变量的转义
文件操作与权限要克制
上传、包含、写入文件是高危操作,每一步都要设限。
- 上传文件不直接信任 $_FILES[‘file’][‘type’],用 finfo_file() 检查真实MIME类型
- 保存路径避开 web 可访问目录,或用 .htaccess / nginx 配置禁止执行 PHP
- include/require 动态文件名必须白名单控制,禁用用户可控路径拼接
- 敏感配置文件(如数据库密码)不要放在 webroot 下,.env 文件应禁止 http 访问
- PHP配置中关闭危险函数:disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
基本上就这些。不复杂,但容易忽略。安全不是加一层防火墙,而是把每个数据入口和出口都看作一道门,亲手检查锁好了没有。