摘要:過濾驗(yàn)證和轉(zhuǎn)義不要相信任何來自不受自己直接控制的數(shù)據(jù)源中的數(shù)據(jù)�����。加密和哈希不是一回事���,加密是雙向算法����,加密的數(shù)據(jù)可以被解密。使用密碼哈希簡化計(jì)算密碼哈希和驗(yàn)證密碼的操作��。密碼的哈希值存儲(chǔ)在類型的數(shù)據(jù)庫列中��。
過濾�、驗(yàn)證和轉(zhuǎn)義
1).不要相信任何來自不受自己直接控制的數(shù)據(jù)源中的數(shù)據(jù)。包括但不限于:
$_GET
$_POST
$_REQUEST
$_COOKIE
$argv
php://stdin
php://input
file_get_contents()
遠(yuǎn)程數(shù)據(jù)庫
遠(yuǎn)程API
來自客戶端的數(shù)據(jù)
2).解決辦法:過濾輸入���。刪除不安全的字符����,在數(shù)據(jù)到達(dá)應(yīng)用的存儲(chǔ)層之前�,必須過濾數(shù)據(jù)。需要過濾的數(shù)據(jù)包括不限于:HTML��、SQL查詢和用戶資料信息��。
HTML:使用htmlentities()函數(shù)過濾HTML成對(duì)應(yīng)的實(shí)體���。這個(gè)函數(shù)會(huì)轉(zhuǎn)義制定字符的HTML字符��,以便在存儲(chǔ)層安全的渲染�����。正確的使用方式是使用htmlentities($input, ENT_QUOTES, "UTF-8")過濾輸入���?��;蛘呤褂肏TML Purifier��。缺點(diǎn)是慢
SQL查詢: 有時(shí)必須根據(jù)數(shù)據(jù)構(gòu)建SQL查詢�。這時(shí)要要使用PDO預(yù)處理語句過濾外部數(shù)據(jù)。
用戶資料信息:使用filter_var()和filter_input()過濾用戶資料信息
3).驗(yàn)證數(shù)據(jù):也可以使用filter_var()�,驗(yàn)證成功返回要驗(yàn)證的值,失敗返回false�����。但是這個(gè)函數(shù)無法驗(yàn)證所有數(shù)據(jù)�,所以可以使用一些驗(yàn)證功能組件。例如aura/filter或者symfony/validator
4)轉(zhuǎn)義輸出:任然可以使用htmlentities這個(gè)函數(shù)��,一些模板引擎也自帶了轉(zhuǎn)義功能���。
密碼
1).絕對(duì)不能知道用戶的密碼��。
2).絕對(duì)不要約束用戶的密碼�,要限制的話只限制最小長度。
3).絕對(duì)不能使用電子郵件發(fā)送用戶的密碼�。你可以發(fā)送一個(gè)修改密碼的鏈接����,上面帶一個(gè)token驗(yàn)證是用戶本人就行了。
4).使用bcrypt計(jì)算用戶密碼的哈希值����。加密和哈希不是一回事,加密是雙向算法��,加密的數(shù)據(jù)可以被解密���。但是哈希是單項(xiàng)算法�����,哈希之后的數(shù)據(jù)無法被還原�,想同的數(shù)據(jù)哈希之后得到的數(shù)據(jù)始終是相同的��。使用數(shù)據(jù)庫存儲(chǔ)通過bcrypt哈希密碼之后的值。
5).使用密碼哈希API簡化計(jì)算密碼哈希和驗(yàn)證密碼的操作���。下面的注冊用戶的一般操作
POST /register.php HTTP/1.1
Content-Length: 43
Content-type: application/x-www-form-urlencoded
[email protected]&password=nihao
下面是接受這個(gè)請(qǐng)求的PHP文件
12]
);
if ($passwordHash === false) {
throw new Exception("Password hash failed");
}
//創(chuàng)建用戶賬戶,這里是虛構(gòu)的代碼
$user = new User();
$user->email = $email;
$user->password_hash = $passwordHash;
$user->save();
header("HTTP/1.1 302 Redirect");
header("Location: /login.php");
} catch (Exception $e) {
header("HTTP1.1 400 Bad Request");
echo $e->getMessage();
}
6).根據(jù)機(jī)器的具體計(jì)算能力修改password_hash()的第三個(gè)值。計(jì)算哈希值一般需要0.1s-0.5s����。
7).密碼的哈希值存儲(chǔ)在varchar(255)類型的數(shù)據(jù)庫列中�����。
8).登錄用戶的一般流程
POST /login.php HTTP1.1
Content-length: 43
Content-Type: application/x-www-form-urlencoded
[email protected]&pasword=nihao
session_start();
try {
$email = filter_input(INPUT_POST, "email");
$password = filter_iinput(INPUT_POST, "password");
$user = User::findByEmail($email);
if (password_verify($password, $user->password_hash) === false) {
throw new Exception(""Invalid password);
}
//如果需要的話�,重新計(jì)算密碼的哈希值
$currentHasAlgorithm = PASSWORD_DEFAULT;
$currentHashOptions = array("cost" => 15);
$passwordNeedsRehash = password_needs_rehash(
$user->password_hash,
$currentHasAlgorithm,
$currentHasOptions
);
if ($passwordNeedsRehash === true) {
$user->password_hash = password_hash(
$password,
$currentHasAlgorithm,
$currentHasOptions
);
$user->save();
}
$_SESSION["user_logged_in"] = "yes";
$_SESSION["user_email"] = $email;
header("HTTP/1.1 302 Redirect");
header("Location: /user-profile.php");
} catch (Exception) {
header("HTTP/1.1 401 Unauthorized");
echo $e->getMessage();
}
9).PHP5.5.0版本之前的密碼哈希API無法使用,推薦使用ircmaxell/password-compat組件���。
專題系列
PHP專題系列目錄地址:https://github.com/xx19941215/webBlog
PHP專題系列預(yù)計(jì)寫二十篇左右���,主要總結(jié)我們?nèi)粘HP開發(fā)中容易忽略的基礎(chǔ)知識(shí)和現(xiàn)代PHP開發(fā)中關(guān)于規(guī)范、部署�、優(yōu)化的一些實(shí)戰(zhàn)性建議�����,同時(shí)還有對(duì)Javascript語言特點(diǎn)的深入研究�����。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/23319.html
