PHP安全加固基础指南_PHP避免常见安全漏洞说明

PHP应用安全核心是堵住常见漏洞入口，需严格验证输入、使用预处理防SQL注入、按输出上下文选择转义方式、限制文件操作并关闭危险函数。

PHP应用安全的核心在于堵住常见漏洞入口，而不是堆砌复杂防护。大多数被攻破的网站，问题出在基础配置和编码习惯上。

输入验证不能只靠前端

用户提交的数据永远不可信，前端JS校验只是提升体验，后端必须重做验证。比如手机号、邮箱、数字范围等，要用PHP内置函数严格过滤。

• 用 filter_var() 处理邮箱、URL、IP等标准格式，别自己写正则判断
• 整数用 filter_var($input, FILTER_VALIDATE_INT)，带范围限制加 options 参数
• 字符串长度、字符集限制用 mb_strlen() 和 mb_ereg()（或 preg_match + u修饰符）
• 所有 $_GET、$_POST、$_COOKIE、$_FILES 数据，进入业务逻辑前必须经过验证或转义

SQL注入：预处理是唯一靠谱方案

拼接SQL字符串（哪怕用了 addslashes() 或 mysql_real_escape_string()）都算裸奔。PDO 或 MySQLi 的预处理语句才是标准解法。

• PDO 示例：$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?"); $stmt->execute([$id]);
• 命名参数更清晰：$stmt = $pdo->prepare("SELECT * FROM posts WHERE status = :status"); $stmt->execute(['status' => 'publish']);
• 不要用 mysql_* 函数（已废弃），也不要用 mysqli_query() 拼接变量
• 动态表名/字段名无法预处理，需白名单校验：in_array($table, ['users', 'posts'], true) ? $table : 'users';

输出上下文决定转义方式

同一段数据，在HTML、JS、CSS、URL、Shell中含义不同，错误的转义等于没转义。

标签： css mysql php html js 前端 json html5 nginx cookie 编码 防火墙 acce