过滤、验证和转义

1).不要相信任何来自不受自己直接控制的数据源中的数据。包括但不限于:

$_GET

$_POST

$_REQUEST

$_COOKIE

$argv

file_get_contents()

远程数据库

远程API

来自客户端的数据

2).解决办法:过滤输入。删除不安全的字符,在数据到达应用的存储层之前,必须过滤数据。需要过滤的数据包括不限于:HTML、SQL查询和用户资料信息。

HTML:使用htmlentities()函数过滤HTML成对应的实体。这个函数会转义制定字符的HTML字符,以便在存储层安全的渲染。正确的使用方式是使用htmlentities($input, ENT_QUOTES, 'UTF-8')过滤输入。或者使用HTML Purifier。缺点是慢

SQL查询: 有时必须根据数据构建SQL查询。这时要要使用PDO预处理语句过滤外部数据。

用户资料信息:使用filter_var()和filter_input()过滤用户资料信息

3).验证数据:也可以使用filter_var(),验证成功返回要验证的值,失败返回false。但是这个函数无法验证所有数据,所以可以使用一些验证功能组件。例如aura/filter或者symfony/validator

4)转义输出:任然可以使用htmlentities这个函数,一些模板引擎也自带了转义功能。

密码

1).绝对不能知道用户的密码。

2).绝对不要约束用户的密码,要限制的话只限制最小长度。

3).绝对不能使用电子邮件发送用户的密码。你可以发送一个修改密码的链接,上面带一个token验证是用户本人就行了。

4).使用bcrypt计算用户密码的哈希值。加密和哈希不是一回事,加密是双向算法,加密的数据可以被解密。但是哈希是单项算法,哈希之后的数据无法被还原,想同的数据哈希之后得到的数据始终是相同的。使用数据库存储通过bcrypt哈希密码之后的值。

5).使用密码哈希API简化计算密码哈希和验证密码的操作。下面的注册用户的一般操作

POST /register.php HTTP/1.1

Content-Length: 43

Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao

下面是接受这个请求的PHP文件

try {

$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

if (!$email) {

throw new Exception('Invalid email');

}

$password = filter_iput(INPUT_POST, 'password');

if (!$password || mb_strlen($password) < 8) {

throw new Exception('Password must contain 8+ characters');

}

//创建密码的哈希值

$passwordHash = password_hash(

$password,

PASSWORD_DEFAULT,

['cost' => 12]

);

if ($passwordHash === false) {

throw new Exception('Password hash failed');

}

//创建用户账户,这里是虚构的代码

$user = new User();

$user->email = $email;

$user->password_hash = $passwordHash;

$user->save();

header('HTTP/1.1 302 Redirect');

header('Location: /login.php');

} catch (Exception $e) {

header('HTTP1.1 400 Bad Request');

echo $e->getMessage();

}

6).根据机器的具体计算能力修改password_hash()的第三个值。计算哈希值一般需要0.1s-0.5s。

7).密码的哈希值存储在varchar(255)类型的数据库列中。

8).登录用户的一般流程

POST /login.php HTTP1.1

Content-length: 43

Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao

session_start();

try {

$email = filter_input(INPUT_POST, 'email');

$password = filter_iinput(INPUT_POST, 'password');

$user = User::findByEmail($email);

if (password_verify($password, $user->password_hash) === false) {

throw new Exception(''Invalid password);

}

//如果需要的话,重新计算密码的哈希值

$currentHasAlgorithm = PASSWORD_DEFAULT;

$currentHashOptions = array('cost' => 15);

$passwordNeedsRehash = password_needs_rehash(

$user->password_hash,

$currentHasAlgorithm,

$currentHasOptions

);

if ($passwordNeedsRehash === true) {

$user->password_hash = password_hash(

$password,

$currentHasAlgorithm,

$currentHasOptions

);

$user->save();

}

$_SESSION['user_logged_in'] = 'yes';

$_SESSION['user_email'] = $email;

header('HTTP/1.1 302 Redirect');

header('Location: /user-profile.php');

} catch (Exception) {

header('HTTP/1.1 401 Unauthorized');

echo $e->getMessage();

}

9).PHP5.5.0版本之前的密码哈希API无法使用,推荐使用ircmaxell/password-compat组件。

专题系列

PHP专题系列目录地址:https://github.com/xx19941215/webBlog

PHP专题系列预计写二十篇左右,主要总结我们日常PHP开发中容易忽略的基础知识和现代PHP开发中关于规范、部署、优化的一些实战性建议,同时还有对Javascript语言特点的深入研究。

php验证旧密码,PHP最佳实践之过滤、验证、转义和密码相关推荐

  1. 得物技术埋点自动化验证的探索和最佳实践

    背景 埋点对电商类app的业务发展一直有着重要的指导作用,但是其复杂的数据组成使得它的稳定性难以得到保障,往往业务逻辑的一些重构就会导致一些埋点属性甚至是整个埋点的丢失. 也正是由于埋点具有多个数据源 ...

  2. android 验证输入,最佳实践:输入验证(Android)

    小编典典 此类java类实现了TextWatcher"监视"您的编辑文本,监视对文本所做的任何更改: public abstract class TextValidator imp ...

  3. GraphQL最佳实践

    GraphQL最佳实践 下面列出了绑定到网络协议和数据格式,版本控制,授权,缓存和处理长列表(包括分页)领域的一些最佳实践. JSON(使用 GZIP 压缩) GraphQL 服务通常返回 JSON ...

  4. linux一次性密码确保ssh登录安全,使用 SSH 时确保 EC2 Linux 实例安全的最佳实践

    使用 SSH 安全访问 EC2 Linux 实例,同时避免未经授权的访问的最佳实践有哪些? 上次更新时间:2020 年 9 月 4 日 我想使用 SSH 访问 Amazon Elastic Compu ...

  5. php 密码过滤,PHP实践教程之过滤、验证、转义与密码详解

    本文主要给大家介绍的是关于PHP实践之过滤.验证.转义与密码等相关的内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍: 一.过滤.验证和转义 1).不要相信任何来自不受自己直接控制的 ...

  6. phpthink验证旧密码_忘记MacBook密码解决方法

    其实相较于Windows,macOS整天哪哪都需要验证密码,更不容易忘,但这不是连MacBook AIr都有指纹识别了嘛,忘记密码的风险也就大了一些,了解一些技巧或多一手准备还是很有必要的. 和Win ...

  7. 从安全到镜像流水线,Docker 最佳实践与反模式一览

    作者 | Timothy Mugayi 译者 | 弯月,责编 | 夕颜 封图 | CSDN付费下载自视觉中国 出品 | CSDN(ID:CSDNnews) 在使用Docker的大部分时间里,我们并不关 ...

  8. SQL Server数据库连续集成(CI)最佳实践以及如何实现它们–测试,处理和自动化

    测试中 (Testing) Test databases should be processed with unit tests In many shops code is unit tested a ...

  9. API接口安全思考和最佳实践

    一.API安全概述 应用程序编程接口 (API) 允许软件应用程序相互交互.它是现代软件模式的基本组成部分,例如微服务架构. API 安全是保护 API 免受攻击的过程.由于 API 非常常用,而且它 ...

最新文章

  1. URL/URI/URN的认识
  2. Java 常见异常种类
  3. python学了可以干什么-学了Python都能干什么,哪个最赚钱?
  4. 航电 2041 超级楼梯
  5. 【剑指offer28:字符串的排列】【java】
  6. rapidJson输出时 保留小数位
  7. springmvc+jpa实现分页的两种方式
  8. 6 个 Java 工具,轻松分析定位 JVM 问题!
  9. 寄存器地址和内存地址_通俗易懂和你聊聊寄存器那些事(精美图文)
  10. linux获取文件名最后一位,获取出文件最后一位是1 或者0 若果都是1 代表是正确的 如果有0代表错误...
  11. 多么乐alexa网站流量数据报告助手
  12. oracle vm virtualbox 卸载
  13. Cause: java.io.IOException: Could not find resource com/itheima/po/CustomerMapper.xml
  14. EXCEL身份证号码校验以及提取基本信息
  15. 用计算机术语写毕业寄语,毕业寄语大全一句话
  16. 磁盘分区格式(MBR分区和GPT分区)和启动引导模式(Legacy和UEFI)的关系
  17. iphone 日历 灰色_将iPhone假期日历更改为本地日历
  18. 四大网络抓包神器,总有一款适合你......
  19. spring getway的配置
  20. Google Filament 源码学习(四):Material System (三) - 材质格式 (mat)

热门文章

  1. Oracle数据库版本维护支持结束时间表以及数据库版本发行时间表
  2. 计算机组成原理第06章在线测试,计算机组成原理第六章单元测试(二)(含答案)(4页)-原创力文档...
  3. 复习--linux目录及文件操作
  4. c++实现插入和冒泡排序
  5. 太极计算机ehr系统,(数据科学学习手札21)sklearn.datasets常用功能详解
  6. pytorch默认初始化_Pytorch 实现权重初始化
  7. python61到08使用说明书_python 08 文件操作
  8. linux mei swap,Linux swapoff命令
  9. es 吗 查询必须有sort_ElasticSearch DSL之From/Size,Sort
  10. Win11如何查看电池情况 Win11查看电池情况的方法