当前位置：首页 > 文章列表 > 文章 > php教程 > PHP输入过滤技巧与安全防护方法

PHP输入过滤技巧与安全防护方法

2025-09-18 18:10:55 0浏览收藏

在PHP开发中，保障用户输入安全至关重要。本文深入探讨了PHP用户输入过滤的各种技巧与安全方法，旨在降低SQL注入、XSS跨站脚本攻击等安全风险。核心在于对`$_GET`、`$_POST`、`$_COOKIE`等超全局变量进行有效处理，利用`filter_var()`进行通用数据过滤和验证，例如移除HTML标签、验证邮箱格式等。针对SQL注入，推荐使用预处理语句（PDO/MySQLi）来避免直接拼接SQL。针对XSS攻击，`htmlspecialchars()`函数可在输出时进行转义。同时，文章还介绍了富文本编辑器输入的安全处理方案，以及如何通过CSRF Token、SameSite Cookie等机制防范CSRF攻击。此外，本文还强调了PHP安全配置的重要性，如禁用危险函数、关闭错误显示、限制文件上传大小、并保持PHP版本更新，以构建更安全的Web应用。

过滤用户输入可降低SQL注入、XSS等风险，核心是对$_GET、$_POST、$_COOKIE处理。使用filter_var()进行通用过滤，如FILTER_SANITIZE_STRING、FILTER_VALIDATE_EMAIL；防SQL注入应使用预处理语句（PDO/MySQLi）；防XSS需用htmlspecialchars()输出转义；富文本用HTMLPurifier净化；CSRF防护通过CSRF Token、SameSite Cookie等实现；同时需合理配置PHP安全选项，如禁用危险函数、关闭display_errors、限制文件上传、使用最新版本等。

PHP如何过滤用户输入_PHP用户输入安全过滤方法详解

直接说吧，PHP过滤用户输入，是为了防止各种攻击，比如SQL注入、XSS等等。别想着完全杜绝，但做好过滤能大大降低风险。

解决方案

PHP里过滤用户输入，核心就是对$_GET、$_POST、$_COOKIE这些超全局变量进行处理。

通用过滤：filter_var()

这函数相当强大，可以针对不同类型的数据进行过滤。

FILTER_SANITIZE_STRING: 移除 HTML 标签，编码特殊字符。但注意，它不适合所有场景，比如需要保留某些HTML标签的情况。
```
$input = "<p>Hello, <b>World!</b></p>";
$filtered = filter_var($input, FILTER_SANITIZE_STRING);
echo $filtered; // 输出: Hello, World!
```

FILTER_VALIDATE_EMAIL: 验证邮箱格式。

$email = "test@example.com";
if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
    echo "邮箱格式正确";
} else {
    echo "邮箱格式错误";
}

FILTER_SANITIZE_NUMBER_INT: 移除所有字符，除了数字和+-。

$number = "123abc456";
$filtered = filter_var($number, FILTER_SANITIZE_NUMBER_INT);
echo $filtered; // 输出: 123456

针对SQL注入：预处理语句 (Prepared Statements)

别再手动拼接SQL语句了！预处理语句才是王道。PDO或MySQLi都支持。

// PDO 示例
$dsn = "mysql:host=localhost;dbname=mydb";
$username = "user";
$password = "password";

try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
    $stmt->execute([$_POST['username'], $_POST['password']]);

    $user = $stmt->fetch();

    if ($user) {
        echo "登录成功";
    } else {
        echo "登录失败";
    }

} catch (PDOException $e) {
    echo "连接失败: " . $e->getMessage();
}

预处理语句的优势在于，SQL语句结构和数据是分开的，数据库会先编译SQL结构，然后再把数据放进去。这样，即使你的数据里包含SQL关键字，也不会被当成SQL语句执行。

针对XSS：htmlspecialchars()
这个函数能把HTML特殊字符转义，比如<转成<，>转成>。这样，用户输入的内容就不会被浏览器当成HTML代码执行。
```
$input = "<script>alert('XSS');</script>";
$filtered = htmlspecialchars($input);
echo $filtered; // 输出: &lt;script&gt;alert('XSS');&lt;/script&gt;
```
记住，htmlspecialchars()是在输出的时候用，而不是输入的时候。因为输入的时候转义了，存到数据库里，再取出来显示，就乱码了。

白名单验证

对于一些特定的输入，比如颜色、尺寸，最好使用白名单验证。只允许特定的值通过。

$color = $_POST['color'];
$allowed_colors = ['red', 'green', 'blue'];

if (in_array($color, $allowed_colors)) {
    echo "你选择了颜色: " . $color;
} else {
    echo "无效的颜色";
}

其他小技巧
- trim(): 移除字符串首尾的空白字符。
- stripslashes(): 移除反斜杠。但现在一般不用，因为PHP配置里可以设置自动转义。

PHP如何处理富文本编辑器中的用户输入？

富文本编辑器允许用户输入带格式的文本，比如加粗、斜体、链接等等。这给XSS攻击提供了更多可能性。

使用专门的库

不要自己写过滤规则！用成熟的HTML净化库，比如HTMLPurifier。它能根据配置，移除不安全的HTML标签和属性，保留安全的。

require_once 'HTMLPurifier.auto.php';

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);

$dirty_html = $_POST['content'];
$clean_html = $purifier->purify($dirty_html);

echo $clean_html;

配置HTMLPurifier

HTMLPurifier的默认配置可能过于严格，你需要根据实际需求进行调整。比如，允许标签，允许class属性等等。

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p,b,i,a[href],img[src]');
$config->set('Attr.AllowedClasses', ['my-class']);
$purifier = new HTMLPurifier($config);

输出时再次转义
即使经过HTMLPurifier处理，在输出的时候，最好还是用htmlspecialchars()转义一下。多一层保护总是好的。

如何防止CSRF攻击？

CSRF (Cross-Site Request Forgery) 攻击是指，攻击者伪造用户请求，以用户的身份执行操作。比如，用户登录了银行网站，攻击者诱骗用户点击一个链接，这个链接会向银行网站发起转账请求。

使用CSRF Token

在每个表单里，都生成一个随机的token，保存在session里。提交表单的时候，验证token是否一致。

session_start();

function generate_csrf_token() {
    return bin2hex(random_bytes(32));
}

if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = generate_csrf_token();
}

// 在表单里
echo '&lt;input type=&quot;hidden&quot; name=&quot;csrf_token&quot; value=&quot;&apos; . $_SESSION[&apos;csrf_token&apos;] . &apos;&quot;&gt;';

// 提交表单时
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF 攻击!");
}

验证HTTP Referer
检查HTTP Referer头部，看请求是否来自自己的网站。但这个方法不靠谱，因为Referer可以被伪造。只能作为辅助手段。
使用SameSite Cookie
SameSite Cookie可以限制Cookie的发送范围，防止跨站请求携带Cookie。
```
setcookie('my_cookie', 'value', ['samesite' => 'Strict']); // 或 'Lax'
```
- Strict: Cookie只会在同站请求中发送。
- Lax: Cookie会在同站请求和部分跨站请求中发送，比如点击链接。

PHP安全配置还有哪些需要注意的？

除了过滤用户输入，PHP的安全配置也很重要。

禁用危险函数
在php.ini里，用disable_functions指令禁用一些危险函数，比如eval()、system()、exec()等等。这些函数可以执行任意代码，很容易被利用。
```
disable_functions = eval,system,exec,shell_exec,passthru,phpinfo
```
关闭display_errors
在生产环境里，不要显示错误信息。错误信息可能会泄露敏感信息，比如数据库密码、文件路径等等。把错误信息记录到日志里。
```
display_errors = Off
log_errors = On
error_log = /path/to/php_errors.log
```
限制文件上传大小
在php.ini里，用upload_max_filesize和post_max_size指令限制文件上传大小。防止上传过大的文件，导致服务器崩溃。
```
upload_max_filesize = 2M
post_max_size = 8M
```
使用最新的PHP版本
PHP官方会定期发布安全更新，修复已知的漏洞。保持PHP版本最新，可以避免被已知的漏洞攻击。
设置open_basedir
使用 open_basedir 指令限制PHP可以访问的文件目录。这可以防止恶意脚本访问敏感文件。
```
open_basedir = /var/www/html:/tmp
```