過濾、驗證和轉義

1).不要相信任何來自不受自己直接控制的數據源中的數據。包括但不限于：

$_GET

$_POST

$_REQUEST

$_COOKIE

$argv

file_get_contents()

遠程數據庫

遠程API

來自客戶端的數據

2).解決辦法：過濾輸入。刪除不安全的字符，在數據到達應用的存儲層之前，必須過濾數據。需要過濾的數據包括不限于：HTML、SQL查詢和用戶資料信息。

HTML:使用htmlentities()函數過濾HTML成對應的實體。這個函數會轉義制定字符的HTML字符，以便在存儲層安全的渲染。正確的使用方式是使用htmlentities($input, ENT_QUOTES, 'UTF-8')過濾輸入。或者使用HTML Purifier。缺點是慢

SQL查詢: 有時必須根據數據構建SQL查詢。這時要要使用PDO預處理語句過濾外部數據。

用戶資料信息:使用filter_var()和filter_input()過濾用戶資料信息

3).驗證數據：也可以使用filter_var()，驗證成功返回要驗證的值，失敗返回false。但是這個函數無法驗證所有數據，所以可以使用一些驗證功能組件。例如aura/filter或者symfony/validator

4)轉義輸出：任然可以使用htmlentities這個函數，一些模板引擎也自帶了轉義功能。

密碼

1).絕對不能知道用戶的密碼。

2).絕對不要約束用戶的密碼，要限制的話只限制最小長度。

3).絕對不能使用電子郵件發送用戶的密碼。你可以發送一個修改密碼的鏈接，上面帶一個token驗證是用戶本人就行了。

4).使用bcrypt計算用戶密碼的哈希值。加密和哈希不是一回事，加密是雙向算法，加密的數據可以被解密。但是哈希是單項算法，哈希之后的數據無法被還原，想同的數據哈希之后得到的數據始終是相同的。使用數據庫存儲通過bcrypt哈希密碼之后的值。

5).使用密碼哈希API簡化計算密碼哈希和驗證密碼的操作。下面的注冊用戶的一般操作

POST /register.php HTTP/1.1

Content-Length： 43

Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao

下面是接受這個請求的PHP文件

try {

$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

if (!$email) {

throw new Exception('Invalid email');

}

$password = filter_iput(INPUT_POST, 'password');

if (!$password || mb_strlen($password) < 8) {

throw new Exception('Password must contain 8+ characters');

}

//創建密碼的哈希值

$passwordHash = password_hash(

$password,

PASSWORD_DEFAULT,

['cost' => 12]

);

if ($passwordHash === false) {

throw new Exception('Password hash failed');

}

//創建用戶賬戶，這里是虛構的代碼

$user = new User();

$user->email = $email;

$user->password_hash = $passwordHash;

$user->save();

header('HTTP/1.1 302 Redirect');

header('Location: /login.php');

} catch (Exception $e) {

header('HTTP1.1 400 Bad Request');

echo $e->getMessage();

}

6).根據機器的具體計算能力修改password_hash()的第三個值。計算哈希值一般需要0.1s-0.5s。

7).密碼的哈希值存儲在varchar(255)類型的數據庫列中。

8).登錄用戶的一般流程

POST /login.php HTTP1.1

Content-length: 43

Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao

session_start();

try {

$email = filter_input(INPUT_POST, 'email');

$password = filter_iinput(INPUT_POST, 'password');

$user = User::findByEmail($email);

if (password_verify($password, $user->password_hash) === false) {

throw new Exception(''Invalid password);

}

//如果需要的話，重新計算密碼的哈希值

$currentHasAlgorithm = PASSWORD_DEFAULT;

$currentHashOptions = array('cost' => 15);

$passwordNeedsRehash = password_needs_rehash(

$user->password_hash,

$currentHasAlgorithm,

$currentHasOptions

);

if ($passwordNeedsRehash === true) {

$user->password_hash = password_hash(

$password,

$currentHasAlgorithm,

$currentHasOptions

);

$user->save();

}

$_SESSION['user_logged_in'] = 'yes';

$_SESSION['user_email'] = $email;

header('HTTP/1.1 302 Redirect');

header('Location: /user-profile.php');

} catch (Exception) {

header('HTTP/1.1 401 Unauthorized');

echo $e->getMessage();

}

9).PHP5.5.0版本之前的密碼哈希API無法使用，推薦使用ircmaxell/password-compat組件。

專題系列

PHP專題系列目錄地址：https://github.com/xx19941215/webBlog

PHP專題系列預計寫二十篇左右，主要總結我們日常PHP開發中容易忽略的基礎知識和現代PHP開發中關于規范、部署、優化的一些實戰性建議，同時還有對Javascript語言特點的深入研究。

總結

以上是生活随笔為你收集整理的php验证旧密码,PHP最佳实践之过滤、验证、转义和密码的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。