相对于其他几种语言来说， PHP 在 web 建站方面有更大的优势，即使是新手，也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响，因为很多的 PHP 教程没有涉及到安全方面的知识。

此帖子分为几部分，每部分会涵盖不同的安全威胁和应对策略。但是，这并不是说你做到这几点以后，就一定能避免你的网站出现任何问题。如果你想提高你的网站安全性的话，你应该继续通过阅读书籍或者文章，来研究如何提高你的网站安全性

出于演示需要，代码可能不是很完美。日常开发过程中，很多代码都包含在了框架跟各种库里面。作为一个后台开发，你不仅要熟练基本的 CURD，更要知道如何保护你的数据。

1. SQL 注入

我赌一包辣条，你肯定会看到这里。 SQL 注入是对您网站最大的威胁之一，如果您的数据库受到别人的 SQL 注入的攻击的话，别人可以转出你的数据库，也许还会产生更严重的后果。

网站要从数据库中获取动态数据，就必须执行 SQL 语句，举例如下：

We found: Absolutely nothing because this is a demo

因为我们把用户的内容直接打印出来，不经过任何过滤，非法用户可以拼接 URL：

PHP 渲染出来的内容如下，可以看到 Javascript 代码会被直接执行：

We found: Absolutely nothing because this is a demo

问：JS 代码被执行有什么大不了的？

Javascript 可以:

偷走你用户浏览器里的 Cookie；

通过浏览器的记住密码功能获取到你的站点登录账号和密码；

盗取用户的机密信息；

你的用户在站点上能做到的事情，有了 JS 权限执行权限就都能做，也就是说 A 用户可以模拟成为任何用户；

在你的网页中嵌入恶意代码；

...

问：如何防范此问题呢？

好消息是比较先进的浏览器现在已经具备了一些基础的 XSS 防范功能，不过请不要依赖与此。

正确的做法是坚决不要相信用户的任何输入，并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的 XSS 攻击：

由于 Include 可以加载任何文件，不仅仅是 PHP，攻击者可以将系统上的任何文件作为包含目标传递。

这将导致 /etc/passwd 文件被读取并展示在浏览器上。

要防御此类攻击，你必须仔细考虑允许用户输入的类型，并删除可能有害的字符，如输入字符中的 “.” “/” “\”。

如果你真的想使用像这样的路由系统（我不建议以任何方式），你可以自动附加 PHP 扩展，删除任何非 [a-zA-Z0-9-_] 的字符，并指定从专用的模板文件夹中加载，以免被包含任何非模板文件。

我在不同的开发文档中，多次看到造成此类漏洞的 PHP 代码。从一开始就要有清晰的设计思路，允许所需要包含的文件类型，并删除掉多余的内容。你还可以构造要读取文件的绝对路径，并验证文件是否存在来作为保护，而不是任何位置都给予读取。

5. 不充分的密码哈希

大部分的 Web 应用需要保存用户的认证信息。如果密码哈希做的足够好，在你的网站被攻破时，即可保护用户的密码不被非法读取。

首先，最不应该做的事情，就是把用户密码明文储存起来。大部分的用户会在多个网站上使用同一个密码，这是不可改变的事实。当你的网站被攻破，意味着用户的其他网站的账号也被攻破了。

其次，你不应该使用简单的哈希算法，事实上所有没有专门为密码哈希优化的算法都不应使用。哈希算法如 MD5 或者 SHA 设计初衷就是执行起来非常快。这不是你需要的，密码哈希的终极目标就是让黑客花费无穷尽的时间和精力都无法破解出来密码。

另外一个比较重要的点是你应该为密码哈希加盐（Salt），加盐处理避免了两个同样的密码会产生同样哈希的问题。

以下使用 MD5 来做例子，所以请千万不要使用 MD5 来哈希你的密码， MD5 是不安全的。

假如我们的用户 user1 和 user315 都有相同的密码 ilovecats123，这个密码虽然看起来是强密码，有字母有数字，但是在数据库里，两个用户的密码哈希数据将会是相同的：5e2b4d823db9d044ecd5e084b6d33ea5 。

如果一个如果黑客拿下了你的网站，获取到了这些哈希数据，他将不需要去暴力破解用户 user315 的密码。我们要尽量让他花大精力来破解你的密码，所以我们对数据进行加盐处理：

就像这样， /etc/passwd 文件内容被转储到 XML 文件中。

如果你使用 libxml 可以调用 libxml_disable_entity_loader 来保护自己免受此类攻击。使用前请仔细检查 XML 库的默认配置，以确保配置成功。

9. 在生产环境中不正确的错误报告暴露敏感数据

如果你不小心，可能会在生产环境中因为不正确的错误报告泄露了敏感信息，例如：文件夹结构、数据库结构、连接信息与用户信息。

你是不希望用户看到这个的吧？

一般根据你使用的框架或者 CMS ，配置方法会有不同的变化。通常框架具有允许你将站点更改为某种生产环境的设置。这样会将所有用户可见的错误消息重定向到日志文件中，并向用户显示非描述性的 500 错误，同时允许你根据错误代码检查。

但是你应该根据你的 PHP 环境设置： error_reporting 与 display_errors.

10. 登录限制

像登录这样的敏感表单应该有一个严格的速率限制，以防止暴力攻击。保存每个用户在过去几分钟内失败的登录尝试次数，如果该速率超过你定义的阈值，则拒绝进一步登录尝试，直到冷却期结束。还可通过电子邮件通知用户登录失败，以便他们知道自己的账户被成为目标。

一些其他补充

不要信任从用户传递给你的对象 ID ，始终验证用户对请求对象的访问权限

服务器与使用的库时刻保持最新

订阅关注安全相关的博客，了解最新的解决方案

从不在日志中保存用户的密码

不要将整个代码库存储在 WEB 根目录中

永远不要在 WEB 根目录创建 Git 存储库，除非你希望泄露整个代码库

始终假设用户的输入是不安全的

设置系统禁止可疑行为的 IP 显示，例如：工具对 URL 随机扫描、爬虫

不要过分信任第三方代码是安全的

不要用 Composer 直接从 Github 获取代码

如果不希望站点被第三方跨域 iframe，请设置反 iframe 标示头

含糊是不安全的

如果你是缺乏实践经验的运营商或合作开发人员，请确保尽可能时常检查代码

当你不了解安全功能应该如何工作，或者为什么会安装，请询问知道的人，不要忽视它

永远不要自己写加密方式，这可能是个坏的方法

如果你没有足够的熵，请正确播种你的伪随机数生成并舍弃

如果在互联网上不安全，并有可能被窃取信息，请为这种情况做好准备并制定事件响应计划

禁用 WEB 根目录列表显示，很多 WEB 服务器配置默认都会列出目录内容，这可能导致数据泄露

客户端验证是不够的，需要再次验证 PHP 中的所有内容

小贴士

我不是一个安全专家，恐无法做到事无巨细。尽管编写安全软件是一个非常痛苦的过程，但还是可以通过遵循一些基本规则，编写合理安全的应用程序。其实，很多框架在这方面也帮我们做了很多工作。

在问题发生之前，安全性问题并不像语法错误等可以在开发阶段追踪到。因此，在编写代码的过程中，应该时刻有规避安全风险的意识。如果你迫于业务需求的压力而不得不暂时忽略一些安全防范的工作，我想你有必要事先告知大家这样做的潜在风险。

如果你从这篇文章有所收益，也请把它分享给你的朋友们把，让我们共建安全网站。

推荐教程：《PHP教程》

以上就是PHP 10 个常见安全问题（实例讲解）的详细内容，更多请关注php中文网其它相关文章！