编辑“︁PHP安全基础”︁

= PHP安全基础 =

'''PHP安全基础'''是PHP编程中确保应用程序免受恶意攻击和数据泄露的关键知识体系。它涵盖输入验证、输出转义、密码安全、会话管理、文件操作安全等核心领域，是开发者构建健壮Web应用的必备技能。

== 核心安全原则 ==
PHP安全编程遵循以下基本原则：
# '''最小权限原则'''：代码/用户只应拥有完成其功能所需的最小权限。
# '''纵深防御'''：多层安全措施防止单点失效导致全面崩溃。
# '''不信任原则'''：所有外部输入都应视为不可信的。

<mermaid>
graph TD
    A[用户输入] --> B[输入验证]
    B --> C[数据处理]
    C --> D[输出转义]
    D --> E[最终输出]
</mermaid>

== 输入验证 ==
=== 基础验证技术 ===
所有用户输入必须经过严格验证：

<syntaxhighlight lang="php">
// 过滤电子邮件示例
$email = $_POST['email'];
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    die("无效的电子邮件格式");
}

// 整数验证
$age = $_GET['age'];
if (!ctype_digit($age)) {
    die("年龄必须是数字");
}
</syntaxhighlight>

'''输入类型验证矩阵'''：
{| class="wikitable"
! 输入类型 !! 验证函数 !! 示例
|-
| 电子邮件 || filter_var() || filter_var($email, FILTER_VALIDATE_EMAIL)
|-
| URL || filter_var() || filter_var($url, FILTER_VALIDATE_URL)
|-
| 整数 || filter_var() || filter_var($int, FILTER_VALIDATE_INT)
|-
| 浮点数 || filter_var() || filter_var($float, FILTER_VALIDATE_FLOAT)
|}

== 输出转义 ==
防止XSS（跨站脚本）攻击的关键技术：

<syntaxhighlight lang="php">
// HTML输出转义
echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

// URL参数转义
$url = "http://example.com?data=" . urlencode($user_data);

// JavaScript上下文转义
$json_data = json_encode($data, JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP);
</syntaxhighlight>

'''转义上下文对照表'''：
{| class="wikitable"
! 输出上下文 !! 转义函数 !! 安全标志
|-
| HTML内容 || htmlspecialchars() || ENT_QUOTES
|-
| HTML属性 || htmlspecialchars() || ENT_QUOTES
|-
| JavaScript || json_encode() || JSON_HEX_*
|-
| URL参数 || urlencode() || -
|}

== 密码安全 ==
PHP提供密码哈希API处理用户密码：

<syntaxhighlight lang="php">
// 创建密码哈希
$hash = password_hash($password, PASSWORD_DEFAULT);

// 验证密码
if (password_verify($user_input, $stored_hash)) {
    // 密码正确
}

// 需要重新哈希？
if (password_needs_rehash($stored_hash, PASSWORD_DEFAULT)) {
    $new_hash = password_hash($user_input, PASSWORD_DEFAULT);
}
</syntaxhighlight>

'''密码哈希算法演变'''：
* PHP 5.5+: PASSWORD_DEFAULT (bcrypt)
* PHP 7.2+: 可能使用Argon2
* 未来：自动升级到更安全的算法

== SQL注入防护 ==
使用预处理语句防止SQL注入：

<syntaxhighlight lang="php">
// PDO预处理示例
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->execute(['email' => $email]);
$user = $stmt->fetch();

// MySQLi预处理
$stmt = $mysqli->prepare("INSERT INTO products (name, price) VALUES (?, ?)");
$stmt->bind_param("sd", $name, $price);
$stmt->execute();
</syntaxhighlight>

== 文件操作安全 ==
安全处理文件上传和操作：

<syntaxhighlight lang="php">
// 安全的文件上传处理
$allowed = ['image/jpeg', 'image/png'];
if (in_array($_FILES['file']['type'], $allowed)) {
    $filename = basename($_FILES['file']['name']);
    $target = "/uploads/" . uniqid() . "_" . $filename;
    move_uploaded_file($_FILES['file']['tmp_name'], $target);
}
</syntaxhighlight>

'''文件上传安全检查清单'''：
1. 验证MIME类型
2. 限制文件扩展名
3. 重命名存储的文件
4. 设置适当权限
5. 存储在Web根目录外

== 会话安全 ==
安全配置PHP会话：

<syntaxhighlight lang="php">
// 安全会话配置
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_secure', 1); // 仅HTTPS
ini_set('session.use_strict_mode', 1);
session_start();

// 会话固定防护
session_regenerate_id(true);
</syntaxhighlight>

'''会话安全配置参数'''：
{| class="wikitable"
! 参数 !! 推荐值 !! 作用
|-
| session.cookie_httponly || 1 || 防止JavaScript访问cookie
|-
| session.cookie_secure || 1 || 仅通过HTTPS传输
|-
| session.use_strict_mode || 1 || 防止会话固定
|-
| session.gc_maxlifetime || 1440 || 合理会话过期时间
|}

== 实际案例 ==
=== 案例1：用户注册系统 ===
安全处理用户注册流程：
1. 验证所有输入字段
2. 哈希存储密码
3. 使用预处理语句插入数据库
4. 输出时转义所有用户数据

=== 案例2：文件上传系统 ===
安全实现图片上传：
1. 验证文件类型和内容
2. 重命名文件
3. 存储在非Web可访问目录
4. 通过脚本提供访问

== 安全头设置 ==
增强HTTP安全头保护：

<syntaxhighlight lang="php">
// 安全头设置示例
header("X-Frame-Options: DENY");
header("X-Content-Type-Options: nosniff");
header("X-XSS-Protection: 1; mode=block");
header("Content-Security-Policy: default-src 'self'");
</syntaxhighlight>

== 数学安全基础 ==
密码学中常用数学概念：
* 哈希碰撞概率计算：给定哈希长度<math>n</math>，碰撞概率约<math>\frac{k^2}{2^{n+1}}</math>（生日问题）
* 熵计算：密码强度<math>H = L \cdot \log_2(N)</math>，其中<math>L</math>为长度，<math>N</math>为字符集大小

== 进阶主题 ==
* CSP（内容安全策略）实现
* 同源策略与CORS
* 安全审计工具使用
* 依赖库的安全更新

== 总结 ==
PHP安全基础是构建可靠Web应用的基石。通过实施输入验证、输出转义、密码安全、SQL注入防护等基本措施，开发者可以显著降低应用风险。记住：安全不是功能，而是贯穿整个开发生命周期的基础要求。

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP安全编程]]