Problèmes de sécurité PHP courants et comment les éviter
La sécurité est l'un des aspects les plus critiques du développement Web. PHP, étant l'un des langages de programmation c?té serveur les plus utilisés, est souvent la cible d'attaques s'il n'est pas correctement sécurisé. Les développeurs doivent être conscients des vulnérabilités de sécurité courantes et mettre en ?uvre les mesures nécessaires pour protéger leurs applications.
Dans cet article, nous explorerons certains des problèmes de sécurité PHP les plus courants et comment les atténuer.
1. Injection SQL
Problème?:
L'injection SQL se produit lorsqu'un attaquant est capable de manipuler des requêtes SQL en injectant du code SQL malveillant via les entrées de l'utilisateur. Si l'entrée utilisateur est directement incluse dans une requête SQL sans validation ou nettoyage approprié, cela peut permettre aux attaquants d'exécuter des commandes SQL arbitraires, compromettant potentiellement la base de données.
Comment prévenir?:
- Utilisez des instructions préparées et des requêtes paramétrées?: utilisez PDO (PHP Data Objects) ou MySQLi avec des instructions préparées pour empêcher l'injection SQL en séparant la requête SQL des données.
- Exemple avec AOP :
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $userEmail]);
En utilisant :email, la requête est préparée avec des espaces réservés et la valeur réelle est liée séparément, garantissant que la saisie de l'utilisateur n'est jamais directement insérée dans la requête.
- Validation des entrées?: validez et nettoyez toujours les entrées de l'utilisateur avant de les utiliser dans des requêtes SQL.
- Moyen privilège?: assurez-vous que l'utilisateur de votre base de données dispose du moins de privilèges nécessaires pour effectuer des opérations.
2. Scripts intersites (XSS)
Problème?:
XSS se produit lorsqu'un attaquant injecte des scripts malveillants (généralement JavaScript) dans une page Web consultée par d'autres utilisateurs. Ce script peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants ou exécuter des actions non autorisées au nom de l'utilisateur.
Comment prévenir?:
- Sortie d'échappement?: assurez-vous que tout le contenu généré par l'utilisateur affiché dans le navigateur est correctement échappé. Utilisez htmlspecialchars() pour convertir les caractères spéciaux en entités HTML.
echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
Cela empêche tout code HTML ou JavaScript contenu dans la saisie utilisateur d'être exécuté par le navigateur.
Politique de sécurité du contenu (CSP)?: mettez en ?uvre un CSP pour limiter les types de contenu pouvant être chargés sur votre site Web et atténuer les attaques XSS.
Validation des entrées?: désinfectez toujours les entrées de l'utilisateur, en particulier lors de l'acceptation de données pour la sortie HTML.
3. Contrefa?on de demande intersite (CSRF)
Problème?:
CSRF est une attaque dans laquelle un utilisateur malveillant incite un autre utilisateur à effectuer des actions (comme changer son mot de passe ou effectuer un achat) sur une application Web sans son consentement. Cela se produit généralement lorsque l'attaquant effectue une demande non autorisée en utilisant la session authentifiée de la victime.
Comment prévenir?:
- Utiliser des jetons CSRF?: générez un jeton unique et aléatoire pour chaque requête modifiant les données. Ce jeton doit être validé lorsque la demande est faite pour garantir sa légitimité.
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $userEmail]);
- Cookies du même site?: utilisez l'attribut de cookie SameSite pour restreindre la manière dont les cookies sont envoyés dans les requêtes intersites.
echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
4. Téléchargements de fichiers non sécurisés
Problème?:
Permettre aux utilisateurs de télécharger des fichiers sans validation appropriée peut entra?ner de graves vulnérabilités. Les attaquants pourraient télécharger des fichiers malveillants tels que des scripts PHP, qui pourraient être exécutés sur le serveur.
Comment prévenir?:
- Vérifier les extensions de fichiers et les types MIME?: validez toujours le type de fichier en vérifiant son extension et son type MIME. Ne vous fiez pas uniquement aux données fournies par les utilisateurs.
// Generate CSRF token
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
// Include token in form
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
// Validate token on form submission
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
die('CSRF token validation failed.');
}
Taille limite du fichier?: définissez une limite de taille de fichier maximale pour les téléchargements afin d'empêcher les attaques par déni de service (DoS) via des fichiers volumineux.
Renommer les fichiers téléchargés?: évitez d'utiliser le nom de fichier d'origine. Renommez les fichiers téléchargés en quelque chose d'unique pour empêcher les utilisateurs de deviner ou d'écraser les fichiers existants.
Stocker les fichiers en dehors de la racine Web?: stockez les fichiers téléchargés dans des répertoires qui ne sont pas accessibles via le Web (c'est-à-dire en dehors du dossier public_html ou www).
Interdire les fichiers exécutables?: n'autorisez jamais le téléchargement de fichiers .php, .exe ou d'autres types de fichiers exécutables. Même si vous validez le type de fichier, il vaut mieux éviter de manipuler des fichiers susceptibles d'exécuter du code.
5. Gestion de session insuffisante
Problème?:
De mauvaises pratiques de gestion de session peuvent rendre votre application vulnérable aux attaques, telles que le détournement de session ou la fixation de session. Par exemple, les attaquants peuvent voler ou prédire les identifiants de session s'ils ne sont pas correctement protégés.
Comment prévenir?:
- Utiliser des cookies sécurisés?: assurez-vous que les cookies de session ont les indicateurs HttpOnly, Secure et SameSite définis.
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $userEmail]);
- Régénérer les ID de session?: régénérez l'ID de session chaque fois qu'un utilisateur se connecte ou effectue une action sensible pour empêcher la fixation de session.
echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
- Expiration de session?: définissez un délai d'expiration de session approprié et mettez en ?uvre des délais d'expiration de session pour garantir que les sessions ne restent pas ouvertes indéfiniment.
6. Injection de commande
Problème?:
L'injection de commandes se produit lorsqu'un attaquant injecte des commandes malveillantes dans une commande système exécutée par exec(), shell_exec(), system() ou des fonctions similaires de PHP. Cela peut permettre à un attaquant d'exécuter des commandes arbitraires sur le serveur.
Comment prévenir?:
évitez d'utiliser les fonctions Shell?: évitez d'utiliser des fonctions telles que exec(), shell_exec(), system() ou passthru() avec la saisie de l'utilisateur. Si vous devez utiliser ces fonctions, assurez-vous d'une validation et d'une désinfection appropriées de l'entrée.
Utilisez Escapeshellcmd() et Escapeshellarg()?: Si des commandes shell doivent être exécutées, utilisez escapeshellcmd() et escapeshellarg() pour nettoyer les entrées de l'utilisateur avant de les transmettre à la ligne de commande.
// Generate CSRF token
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
// Include token in form
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
// Validate token on form submission
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
die('CSRF token validation failed.');
}
7. Gestion incorrecte des erreurs
Problème?:
L'exposition de messages d'erreur sensibles peut révéler des informations sur la structure de votre application, qui peuvent être exploitées par des attaquants. Cela se produit souvent lorsque des messages d'erreur détaillés sont affichés aux utilisateurs.
Comment prévenir?:
- Désactiver l'affichage des erreurs en production?: n'affichez jamais de messages d'erreur détaillés aux utilisateurs en production. Au lieu de cela, enregistrez les erreurs dans un fichier et affichez des messages d'erreur génériques aux utilisateurs.
setcookie('session', $sessionId, ['samesite' => 'Strict']);
- Journaliser les erreurs?: utilisez des mécanismes de journalisation appropriés (comme error_log()) pour capturer les informations sur les erreurs en toute sécurité sans les révéler aux utilisateurs finaux.
$allowedTypes = ['image/jpeg', 'image/png'];
if (in_array($_FILES['file']['type'], $allowedTypes)) {
// Proceed with file upload
}
8. Détournement de WebSocket entre sites
Problème?:
Si vous utilisez WebSockets dans votre application PHP, les connexions WebSocket non sécurisées peuvent être détournées pour usurper l'identité des utilisateurs et envoyer des données malveillantes.
Comment prévenir?:
Utilisez HTTPS pour les connexions WebSocket?: assurez-vous que les connexions WebSocket sont établies via wss:// (WebSocket Secure) plut?t que ws:// pour chiffrer les données.
Valider les en-têtes d'origine?: validez l'en-tête d'origine pour vous assurer que la demande provient d'un domaine autorisé.
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $userEmail]);
9. Faible stockage des mots de passe
Problème?:
Le stockage des mots de passe des utilisateurs en texte brut ou l'utilisation d'algorithmes de hachage faibles peuvent entra?ner de graves problèmes de sécurité si la base de données est compromise.
Comment prévenir?:
- Utilisez des algorithmes de hachage puissants?: utilisez les fonctions password_hash() et password_verify() intégrées de PHP pour hacher et vérifier les mots de passe en toute sécurité.
echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
- Salage?: utilisez toujours des sels (ce qui est effectué automatiquement dans password_hash()), en garantissant que même si deux utilisateurs ont le même mot de passe, leurs hachages seront différents.
Conclusion
La sécurité PHP est essentielle pour la protection de votre application et de ses utilisateurs. En comprenant et en atténuant les vulnérabilités courantes telles que l'injection SQL, XSS, CSRF, les problèmes de téléchargement de fichiers et les failles de gestion de session, vous pouvez améliorer considérablement la sécurité de votre application PHP.
L'adoption de bonnes pratiques telles que l'utilisation d'instructions préparées, la validation des entrées, l'utilisation de HTTPS et la gestion sécurisée des sessions et des mots de passe contribueront à prévenir les attaques les plus courantes. Restez toujours à jour avec les dernières pratiques de sécurité et auditez régulièrement votre application pour détecter les vulnérabilités potentielles.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Porce de variable PHP expliquée
Jul 17, 2025 am 04:16 AM
Les problèmes et les solutions courants pour la portée de la variable PHP incluent: 1. La variable globale ne peut pas être accessible dans la fonction, et elle doit être transmise en utilisant le mot-clé ou le paramètre global; 2. La variable statique est déclarée avec statique, et elle n'est initialisée qu'une seule fois et la valeur est maintenue entre plusieurs appels; 3. Des variables hyperglobales telles que $ _get et $ _post peuvent être utilisées directement dans n'importe quelle portée, mais vous devez faire attention au filtrage s?r; 4. Les fonctions anonymes doivent introduire des variables de portée parents via le mot clé Utiliser, et lorsque vous modifiez les variables externes, vous devez passer une référence. La ma?trise de ces règles peut aider à éviter les erreurs et à améliorer la stabilité du code.
Comment gérer les téléchargements de fichiers en toute sécurité dans PHP?
Jul 08, 2025 am 02:37 AM
Pour gérer en toute sécurité les téléchargements de fichiers PHP, vous devez vérifier la source et taper, contr?ler le nom et le chemin du fichier, définir les restrictions du serveur et traiter les fichiers multimédias deux fois. 1. Vérifiez la source de téléchargement pour empêcher le CSRF via le jeton et détecter le type de mime réel via FINFO_FILE en utilisant le contr?le de liste blanche; 2. Renommez le fichier à une cha?ne aléatoire et déterminez l'extension pour la stocker dans un répertoire non Web en fonction du type de détection; 3. La configuration PHP limite la taille de téléchargement et le répertoire temporaire Nginx / Apache interdit l'accès au répertoire de téléchargement; 4. La bibliothèque GD résait les images pour effacer des données malveillantes potentielles.
Commentant le code en php
Jul 18, 2025 am 04:57 AM
Il existe trois méthodes courantes pour le code de commentaire PHP: 1. Utiliser // ou # pour bloquer une ligne de code, et il est recommandé d'utiliser //; 2. Utiliser /.../ pour envelopper des blocs de code avec plusieurs lignes, qui ne peuvent pas être imbriquées mais peuvent être croisées; 3. Compétences combinées Commentaires tels que l'utilisation / if () {} / pour contr?ler les blocs logiques, ou pour améliorer l'efficacité avec les touches de raccourci de l'éditeur, vous devez prêter attention aux symboles de fermeture et éviter les nidification lorsque vous les utilisez.
Comment les générateurs fonctionnent-ils en PHP?
Jul 11, 2025 am 03:12 AM
AgeneratorInphpisamemory-EfficientwaytoterateOrgedatasetsByyieldingValuesonEatatimeIntedofreturningThemallAtonce.1.GeneratorsUsEtheieldKeywordToproduceValuesondemand, ReducingMemoryUsage.2.TheyAreusefulForHandlingBigloops, ReadingLargeFiles, OR OR.
Conseils pour écrire des commentaires PHP
Jul 18, 2025 am 04:51 AM
La clé pour rédiger des commentaires PHP est de clarifier l'objectif et les spécifications. Les commentaires devraient expliquer "pourquoi" plut?t que "ce qui a été fait", en évitant la redondance ou trop de simplicité. 1. Utilisez un format unifié, tel que DocBlock (/ * /) pour les descriptions de classe et de méthode afin d'améliorer la lisibilité et la compatibilité des outils; 2. Soulignez les raisons de la logique, telles que pourquoi les sauts JS doivent être sortis manuellement; 3. Ajoutez une description d'une vue d'ensemble avant le code complexe, décrivez le processus dans les étapes et aidez à comprendre l'idée globale; 4. Utilisez TODO et FIXME Rationalement pour marquer des éléments et des problèmes de taches pour faciliter le suivi et la collaboration ultérieurs. De bonnes annotations peuvent réduire les co?ts de communication et améliorer l'efficacité de la maintenance du code.
Apprendre PHP: un guide du débutant
Jul 18, 2025 am 04:54 AM
Toléarnphpeffective, startBySettingUpAlocalServerERironmentUsingToolsLILYXAMPPANDACODEDITERLIGHILLEVSCODE.1) INSTRUSITIONXAMPFORAPACHE, MYSQL, ANDPHP.2) USACODEDEDITORFORSYNTAXSUPPORT.3)
Comment accéder à un caractère dans une cha?ne par index en php
Jul 12, 2025 am 03:15 AM
En PHP, vous pouvez utiliser des crochets ou des accolades bouclées pour obtenir des caractères d'index spécifiques à la cha?ne, mais les crochets sont recommandés; L'index commence à partir de 0 et l'accès à l'extérieur de la plage renvoie une valeur nulle et ne peut pas se voir attribuer une valeur; MB_substr est nécessaire pour gérer les caractères multi-octets. Par exemple: $ str = "Hello"; echo $ str [0]; sortie h; et les caractères chinois tels que MB_substr ($ str, 1,1) doivent obtenir le résultat correct; Dans les applications réelles, la longueur de la cha?ne doit être vérifiée avant le boucle, les cha?nes dynamiques doivent être vérifiées pour la validité et les projets multilingues recommandent d'utiliser des fonctions de sécurité multi-octets uniformément.
Tutoriel d'installation rapide PHP
Jul 18, 2025 am 04:52 AM
Toinstallphpquickly, usexAmpPonWindowsorHomebrewonMacos.1.onwindows, downloadAndInstallxAmppp, selectComponents, startapache et placefilesInhtdocs.2.
