PHP7安全编程指南：防范常见漏洞与攻击-小浪学习网

php7应用安全性需开发者主动防范。1.防止sql注入：使用参数化查询（如pdo或mysqli）避免恶意输入篡改sql逻辑；2.过滤与转义输出：根据上下文使用htmlspecialchars、rawurlencode等函数防止xss攻击；3.文件上传安全：白名单限制扩展名、检测真实mime类型、重命名文件并隔离存储路径；4.启用https加密传输，并通过设置content-security-policy、x-content-type-options等安全头部增强防护；这些措施能有效提升php7应用的整体安全性。

PHP7安全编程指南：防范常见漏洞与攻击

在开发 PHP 应用时，安全性常常是被忽视但又极其关键的一环。php7 虽然在性能和语言特性上做了很多优化，但它本身并不能自动帮你防御安全漏洞。你必须在编码过程中主动采取防护措施。这篇文章就来说说几个常见的 Web 安全问题，以及如何在 PHP7 中正确应对它们。

防止 SQL 注入：永远别把用户输入直接拼进 SQL 语句

SQL 注入是最古老、也最危险的攻击方式之一。它通过构造恶意输入来篡改 SQL 查询逻辑，可能造成数据泄露甚至删除整个数据库。

举个例子，如果你这样写代码：

立即学习“PHP免费学习笔记（深入）”；

$query = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";

那么攻击者只要在用户名里输入 ‘ OR ‘1’=’1，就能绕过验证机制，轻松登录系统。

正确的做法是使用参数化查询（预处理语句），比如 PDO 或 mysqli：

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ?'); $stmt->execute([$_POST['username']]);

这样无论用户输入什么内容，都会被当作普通字符串处理，不会影响 SQL 的结构。

过滤与转义输出：防止 XSS 攻击的关键步骤

跨站脚本攻击（XSS）是指攻击者将恶意脚本注入到网页中，当其他用户访问该页面时就会执行这段脚本。常见于评论区、用户资料页等允许用户提交内容的地方。

假设你有段代码直接输出用户输入的内容：

echo "<div>" . $_GET['comment'] . "</div>";

如果有人提交了 <script>alert(‘xss’)</script>，那每个看到这条评论的人都会弹出一个提示框。这还只是简单的示例，真实攻击可能会盗取 Cookie、发起请求等。

解决方法很简单：输出前根据上下文进行适当的过滤或转义：

html 输出：使用 htmlspecialchars()
URL 参数：使用 rawurlencode()
JavaScript 上下文：尽量避免动态插入，否则需严格过滤

例如：

echo "<div>" . htmlspecialchars($_GET['comment'], ENT_QUOTES, 'UTF-8') . "</div>";

这样就能防止大部分 XSS 攻击。

文件上传要小心：限制类型、重命名、隔离存储路径

文件上传功能如果不加控制，很容易变成后门入口。攻击者可以上传 .php 文件伪装成图片，然后通过访问这个文件执行任意代码。

常见风险点包括：

允许上传可执行文件（如 .php, .phtml）
不检查文件内容，只看扩展名
直接暴露上传目录在 Web 根目录下

建议的做法如下：

白名单限制扩展名，不要依赖客户端判断。
读取文件头判断真实类型（比如使用 finfo_file()）。
上传后重命名文件，避免覆盖已有的文件或被猜测路径。
上传目录不放在 Web 可访问路径内，可以通过脚本控制访问权限。

示例：

$allowed = ['jpg', 'jpeg', 'png']; $ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION); if (!in_array(strtolower($ext), $allowed)) {     die("不允许的文件类型"); }  // 更进一步：检测 MIME 类型 $finfo = finfo_open(FILEINFO_MIME_TYPE); $mimetype = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo);  if (!in_array($mimetype, ['image/jpeg', 'image/png'])) {     die("不是有效的图片文件"); }