php - 我正在自学 PHP，并且已经了解 strip_tags() 函数。这是提高安全性的唯一方法吗？

Question

我是 PHP 新手，正在学习这里的教程: Link

用户可以在输入中编写 php 代码并基本上搞砸您的网站，这非常可怕，对吧？

好吧，现在我有点偏执，我宁愿立即学习安全最佳实践，也不愿在我养成一些习惯后尝试将它们塞进去。

由于我是 PHP 的新手(两天前刚开始接触它)，所以我几乎可以轻松学习任何东西而不会感到困惑。

还有什么其他方法可以防止网站上出现恶作剧？ :D

Answer 1

开发 PHP 应用程序时需要牢记几件事情，strip_tags() 只能帮助解决其中一件事情。实际上 strip_tags() 虽然有效，但甚至可能做的比需要的更多:根据情况，使用 htmlspecialchars() 转换可能危险的字符甚至应该是更可取的。

一般来说，这一切都归结为两个简单的规则:过滤所有输入，转义所有输出。现在您需要了解究竟什么是输入和输出。

输出很容易，您的应用程序发送到浏览器的所有内容都是输出，因此每次输出不是您自己编写的数据时，请使用 htmlspecialchars() 或任何其他转义函数。

输入是任何未硬编码在您的 PHP 代码中的数据:通过 POST 来自表单的内容，通过 GET 来自查询字符串的内容，来自 cookie 的内容，所有这些必须以最合适的方式进行过滤，具体取决于根据您的需要。即使是来自数据库的数据也应被视为具有潜在危险；尤其是在共享服务器上，您永远不知道数据库是否在其他地方以可能影响您的应用程序的方式受到损害。

有多种过滤数据的方法:白名单仅允许选定的值，基于预期输入格式的验证等。我从不建议的一件事是尝试修复您从用户那里获得的数据:让他们按照您的规则行事，如果您没有得到您期望的结果，请拒绝请求而不是尝试清理它。

特别注意，如果你和数据库打交道，一定要注意SQL注入(inject):这种攻击依赖于你没有正确构造你发送给数据库的查询字符串，这样攻击者就可以伪造它们试图执行恶意指令.您应该始终使用转义函数，例如 mysql_real_escape_string()，或者更好的是，使用带有 the mysqli extension 的预准备语句或使用 PDO .

关于这个主题还有很多话要说，但这些要点应该可以帮助您入门。

HTH

编辑:澄清一下，我所说的“过滤输入”是指决定什么是好的，什么是坏的，而不是以任何方式修改输入数据。正如我所说，我永远不会修改用户数据，除非它被输出到浏览器。