PHP实践教程之过滤、验证、转义与密码详解


Posted in PHP onJuly 24, 2017

本文主要给大家介绍的是关于PHP实践之过滤、验证、转义与密码等相关的内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍:

一、过滤、验证和转义

1).不要相信任何来自不受自己直接控制的数据源中的数据。包括但不限于:

  • $_GET
  • $_POST
  • $_REQUEST
  • $_COOKIE
  • $argv
  • php://stdin
  • php://input
  • file_get_contents()
  • 远程数据库
  • 远程API
  • 来自客户端的数据

2).解决办法:过滤输入。删除不安全的字符,在数据到达应用的存储层之前,必须过滤数据。需要过滤的数据包括不限于:HTML、SQL查询和用户资料信息。

  • HTML:使用htmlentities()函数过滤HTML成对应的实体。这个函数会转义制定字符的HTML字符,以便在存储层安全的渲染。正确的使用方式是使用htmlentities($input, ENT_QUOTES, 'UTF-8')过滤输入。或者使用HTML Purifier。缺点是慢
  • SQL查询: 有时必须根据数据构建SQL查询。这时要要使用PDO预处理语句过滤外部数据。
  • 用户资料信息:使用filter_var()filter_input()过滤用户资料信息

3).验证数据:也可以使用filter_var() ,验证成功返回要验证的值,失败返回false。但是这个函数无法验证所有数据,所以可以使用一些验证功能组件。例如aura/filter或者symfony/validator

4)转义输出:任然可以使用htmlentities这个函数,一些模板引擎也自带了转义功能。

密码

       1).绝对不能知道用户的密码。

       2).绝对不要约束用户的密码,要限制的话只限制最小长度。

       3).绝对不能使用电子邮件发送用户的密码。你可以发送一个修改密码的链接,上面带一个token验证是用户本人就行了。

       4).使用bcrypt计算用户密码的哈希值。加密和哈希不是一回事,加密是双向算法,加密的数据可以被解密。但是哈希是单项算法,哈希之后的数据无法被还原,想同的数据哈希之后得到的数据始终是相同的。使用数据库存储通过bcrypt哈希密码之后的值。

       5).使用密码哈希API简化计算密码哈希和验证密码的操作。下面的注册用户的一般操作

POST /register.php HTTP/1.1
Content-Length: 43
Content-type: application/x-www-form-urlencoded

email=xiao@hello.world&password=nihao

下面是接受这个请求的PHP文件

<?php
try {
 $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
 if (!$email) {
  throw new Exception('Invalid email');
 }
 $password = filter_iput(INPUT_POST, 'password');
 if (!$password || mb_strlen($password) < 8) {
  throw new Exception('Password must contain 8+ characters');
 }
 //创建密码的哈希值
 $passwordHash = password_hash(
  $password,
  PASSWORD_DEFAULT,
  ['cost' => 12]
  );

 if ($passwordHash === false) {
  throw new Exception('Password hash failed');
 }

 //创建用户账户,这里是虚构的代码
 $user = new User();
 $user->email = $email;
 $user->password_hash = $passwordHash;
 $user->save();
 header('HTTP/1.1 302 Redirect');
 header('Location: /login.php');
} catch (Exception $e) {
 header('HTTP1.1 400 Bad Request');
 echo $e->getMessage();
}

       6).根据机器的具体计算能力修改password_hash()的第三个值。计算哈希值一般需要0.1s-0.5s。

       7).密码的哈希值存储在varchar(255)类型的数据库列中。

       8).登录用户的一般流程

POST /login.php HTTP1.1
Content-length: 43
Content-Type: application/x-www-form-urlencoded

email=xiao@hello.wordl&pasword=nihao
session_start();
try {
 $email = filter_input(INPUT_POST, 'email');
 $password = filter_iinput(INPUT_POST, 'password');

 $user = User::findByEmail($email);

 if (password_verify($password, $user->password_hash) === false) {
  throw new Exception(''Invalid password);
 }

 //如果需要的话,重新计算密码的哈希值
 $currentHasAlgorithm = PASSWORD_DEFAULT;
 $currentHashOptions = array('cost' => 15);
 $passwordNeedsRehash = password_needs_rehash(
  $user->password_hash,
  $currentHasAlgorithm,
  $currentHasOptions
 );
 if ($passwordNeedsRehash === true) {
  $user->password_hash = password_hash(
   $password,
   $currentHasAlgorithm,
   $currentHasOptions
  );

  $user->save();
 }

 $_SESSION['user_logged_in'] = 'yes';
 $_SESSION['user_email'] = $email;

 header('HTTP/1.1 302 Redirect');
 header('Location: /user-profile.php');
} catch (Exception) {
 header('HTTP/1.1 401 Unauthorized');
 echo $e->getMessage();
}

      9).PHP5.5.0版本之前的密码哈希API无法使用,推荐使用ircmaxell/password-compat组件。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
用libTemplate实现静态网页的生成
Oct 09 PHP
新版mysql+apache+php Linux安装指南
Oct 09 PHP
php面向对象全攻略 (七) 继承性
Sep 30 PHP
用PHP为SHOPEX增加日志功能代码
Jul 02 PHP
php下通过伪造http头破解防盗链的代码
Jul 03 PHP
基于在生产环境中使用php性能测试工具xhprof的详解
Jun 03 PHP
php实现的漂亮分页方法
Apr 17 PHP
PHP查询快递信息的方法
Mar 07 PHP
PHP常见数组函数用法小结
Mar 21 PHP
Yii遍历行下每列数据的方法
Oct 17 PHP
laravel框架中间件简单使用方法示例
Jan 25 PHP
php计数排序算法的实现代码(附四个实例代码)
Mar 31 PHP
php实现和c#一致的DES加密解密实例
Jul 24 #PHP
PHP读取CSV大文件导入数据库的实例
Jul 24 #PHP
Yii2.0多文件上传实例说明
Jul 24 #PHP
thinkphp分页集成实例
Jul 24 #PHP
PHP 实现页面静态化的几种方法
Jul 23 #PHP
PHP魔术方法之__call与__callStatic使用方法
Jul 23 #PHP
php魔法函数与魔法常量使用介绍
Jul 23 #PHP
You might like
用ODBC的分页显示
2006/10/09 PHP
thinkphp下MySQL数据库读写分离代码剖析
2017/04/18 PHP
Laravel 5.5基于内置的Auth模块实现前后台登陆详解
2017/12/21 PHP
php实现推荐功能的简单实例
2019/09/29 PHP
PHP date_default_timezone_set()设置时区操作实例分析
2020/05/16 PHP
关于javascript中this关键字(翻译+自我理解)
2010/10/20 Javascript
禁止选中文字兼容IE、Chrome、FF等
2013/09/04 Javascript
fmt:formatDate的输出格式详解
2014/01/09 Javascript
Jquery实现的简单轮播效果【附实例】
2016/04/19 Javascript
兼容浏览器的js事件绑定函数(详解)
2017/05/09 Javascript
windows系统下更新nodejs版本的方案
2017/11/24 NodeJs
Vue.js 中的 v-model 指令及绑定表单元素的方法
2018/12/03 Javascript
nodejs中方法和模块用法示例
2018/12/24 NodeJs
vue中filters 传入两个参数 / 使用两个filters的实现方法
2019/07/15 Javascript
[00:06]Yes,it worked!小卡尔成功穿越时空加入战场!
2019/07/20 DOTA
python基础教程之常用运算符
2014/08/29 Python
python运行时间的几种方法
2016/06/17 Python
python正则中最短匹配实现代码
2018/01/16 Python
python的faker库用法
2019/11/28 Python
pandas实现excel中的数据透视表和Vlookup函数功能代码
2020/02/14 Python
python3 配置logging日志类的操作
2020/04/08 Python
python的flask框架难学吗
2020/07/31 Python
python os.rename实例用法详解
2020/12/06 Python
css3学习心得分享
2013/08/19 HTML / CSS
PacSun官网:加州生活方式服装、鞋子和配饰
2018/03/10 全球购物
澳大利亚领先的女性运动服品牌:Lorna Jane
2020/06/19 全球购物
物业管理专业个人的自我评价
2013/11/19 职场文书
跟单文员岗位职责
2014/01/03 职场文书
教师新年寄语
2014/04/03 职场文书
2014年学生资助工作总结
2014/12/18 职场文书
给老婆的道歉信
2015/01/20 职场文书
企业党员岗位承诺书
2015/04/27 职场文书
2015年度企业工作总结
2015/05/21 职场文书
人代会简报
2015/07/21 职场文书
八年级物理教学反思
2016/02/19 职场文书
Nginx安装配置详解
2022/06/25 Servers