本篇内容介绍了“PHP编程中常见的问题及应对方案是什么”的有关知识，在实际项目的操作过程或是学习过程中，不少人都会遇到这样的问题，接下来就让小编带大家学习一下如何处理这些情况吧！希望大家仔细阅读，能够学有所成！

1、SQL注入

SQL 注入是对您网站最大的威胁之一，如果您的数据库受到别人的 SQL 注入的攻击的话，别人可以转出你的数据库，也许还会产生更严重的后果。

解决方法：

主流的解决方法有两种。转义用户输入的数据或者使用封装好的语句。转义的方法是封装好一个函数，用来对用户提交的数据进行过滤，去掉有害的标签。但是，我不太推荐使用这个方法，因为比较容易忘记在每个地方都做此处理。

下面，我来介绍如何使用 PDO 执行封装好的语句（ mysqi 也一样）：

$username = $_GET['username'];
 
$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');
 
$query->execute(['username' => $username]);
 
$data = $query->fetch();

2、XSS

XSS 又叫 CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码，当用户浏览该页之时，嵌入其中 Web 里面的 html 代码会被执行，从而达到恶意攻击用户的特殊目的。

解决方法：

坚决不要相信用户的任何输入，并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的 XSS 攻击：

 
$searchQuery = htmlentities($searchQuery, ENT_QUOTES);

或者你可以使用模板引擎 Twig ，一般的模板引擎都会默认为输出加上 htmlentities 防范。

3、XSRF/CSRF

CSRF 是跨站请求伪造的缩写，它是攻击者通过一些技术手段欺骗用户去访问曾经认证过的网站并运行一些操作。

解决方法：

最常用的防御方法是生成一个 CSRF 令牌加密安全字符串，一般称其为 Token，并将 Token 存储于 Cookie 或者 Session 中。

每次你在网页构造表单时，将 Token 令牌放在表单中的隐藏字段，表单请求服务器以后会根据用户的 Cookie 或者 Session 里的 Token 令牌比对，校验成功才给予通过。

由于攻击者无法知道 Token 令牌的内容（每个表单的 Token 令牌都是随机的），因此无法冒充用户。

以上就是关于“PHP编程中常见的问题及应对方案是什么”的介绍了，感谢各位的阅读，希望这篇文章能帮助大家解决问题。如果想要了解更多知识，欢迎关注群英网络，小编每天都会为大家更新不同的知识。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• PHP随机生成用户基本信息的代码是什么

  在本篇文章里小编给大家整理的是一篇关于PHP随机生成用户信息实例分析内容，对此有兴趣的朋友们可以测试参考下。

• laravel组件化开发的实现方法是什么？

  这篇文章给大家分享的是关于laravel框架的组件化开发实现方法的内容，介绍了组件化开发实现的步骤和代码，文本示例具有一定的借鉴价值，对于组件化开不清楚的朋友可以参考学习，下面就跟随小编一起学习吧。

• swoole服务器无法连接的处理操作是怎样的

  swoole服务器无法连接的解决办法：首先通过命令“php -m”检查swoole扩展；然后使用命令“firewall-cmd --state”查看防火墙是否关闭；接着使用命令“telnet”进行连接测试即可。

• php解释器模式怎么理解？解释器模式示例详解

  PHP设计模式是PHP学习的一个重要的内容，我们知道PHP设计模式有很多，这篇文主要给大家介绍的是关于PHP解释器模式的原理和使用等相关内容，对新手学习和理解解释器模式有一定的参考价值，感兴趣的朋友可以看看。

• PHP魔术常量有哪些，用处是什么

  PHP向它运行的任何脚本提供了大量的预定义常量。不过很多常量都是由不同的扩展库定义的，只有在加载了这些扩展库时才会出现，或者动态加载后，或者在编译时已经包括进去了...