PHP开发不能违背的安全规则过滤用户输入

adminZpd 专业教程 2025-12-27 11:07:35

在PHP开发中,安全始终是不可忽视的核心要素，用户输入是Web应用中最常见的攻击入口，若未进行严格过滤，可能导致SQL注入、XSS攻击、命令执行等多种安全风险，遵循安全规则过滤用户输入，是构建可靠应用的基础，以下是必须牢记的关键安全原则及实践方法。

PHP开发不能违背的安全规则过滤用户输入-第1张图片-99系统专家

始终假设所有输入都是恶意的

开发者应摒弃“信任用户输入”的错误观念，无论输入来自表单、URL参数、HTTP头还是API请求，都可能包含恶意代码，用户可能在表单中提交<script>alert('xss')</script>尝试执行XSS攻击，或输入' OR '1'='1尝试进行SQL注入，只有通过严格过滤，才能确保输入数据的安全性。

使用预编译语句防止SQL注入

SQL注入是PHP应用中最常见的攻击方式之一,传统的字符串拼接SQL语句的方式极易被利用，

$username = $_POST['username'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

攻击者可以通过输入admin' --轻松绕过验证，正确的做法是使用预编译语句（预处理语句），如PDO或MySQLi的预处理功能：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->execute(['username' => $_POST['username'], 'password' => $_POST['password']]);

预处理语句会将SQL代码与数据分离,确保输入数据不会被解释为SQL代码。

对输出进行HTML实体编码防御XSS攻击

跨站脚本攻击（XSS）允许攻击者在用户浏览器中执行恶意脚本，若用户提交的评论内容直接显示在页面上，且包含<script>document.cookie</script>，则其他用户访问时可能触发脚本，防御XSS的核心是对输出进行HTML实体编码，PHP中可使用htmlspecialchars()函数：

echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

该函数会将<、>、&等字符转换为HTML实体，防止浏览器将其解析为HTML或JavaScript代码。

PHP开发不能违背的安全规则过滤用户输入-第2张图片-99系统专家

验证输入数据类型和格式

过滤不仅需要去除恶意内容,还需验证输入是否符合预期的格式，邮箱地址应匹配正则表达式/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/，手机号应符合特定国家的号码规则，PHP的filter_var()函数提供了便捷的验证方式：

if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) {
    die("Invalid email format");
}

对于数字类型的输入,应使用is_numeric()或强制类型转换确保数据类型正确。

使用白名单而非黑名单过滤

黑名单过滤（如禁止某些关键词）容易被绕过，而白名单过滤（只允许特定字符）更安全，若用户名仅允许字母和数字，应明确指定允许的字符集：

if (!preg_match('/^[a-zA-Z0-9]+$/', $_POST['username'])) {
    die("Username can only contain letters and numbers");
}

白名单策略能更有效地阻止未知类型的恶意输入。

转义特殊字符并设置安全头

除了过滤输入,还需对输出进行适当的转义，在数据库查询中使用real_escape_string()（尽管推荐预处理语句），在输出JavaScript时使用json_encode()，设置HTTP安全头如Content-Security-Policy、X-XSS-Protection可增强浏览器对XSS的防御能力。