PHP安全编程与防攻击实战

📚 30章 · 从入门到加固
01
为什么PHP应用容易成为攻击目标?常见攻击类型概览,安全开发原则。
02
为什么输入验证如此重要?PHP中的过滤函数(filter_var, filter_input),正则表达式验证实战。
03
什么是SQL注入?攻击者如何利用它?经典案例演示。
04
使用预处理语句(Prepared Statements)和参数化查询,PDO与MySQLi的安全实践。
05
反射型、存储型、DOM型XSS的原理与危害。
06
输出编码(htmlspecialchars, htmlentities),内容安全策略(CSP)基础。
07
CSRF攻击原理,为什么它难以防范?
08
使用Token验证,SameSite Cookie属性,Referer检查。
09
攻击者如何利用文件上传?绕过技巧分析。
10
文件类型验证、MIME类型检查、文件名安全处理、存储位置策略。
11
会话劫持与固定攻击,安全的会话管理配置。
12
密码存储的演变(MD5 → SHA → bcrypt/Argon2),PHP密码哈希函数详解。
13
本地文件包含(LFI)与远程文件包含(RFI)的原理与利用。
14
禁用危险函数,白名单策略,路径规范化。
15
攻击者如何通过PHP执行系统命令?常见危险函数。
16
escapeshellcmd 与 escapeshellarg 的正确使用,禁用危险函数。
17
php.ini关键安全配置项详解(disable_functions, open_basedir, expose_php等)。
18
为什么你的网站必须使用HTTPS?PHP中强制HTTPS的几种方法。
19
X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security等头的设置。
20
记录安全事件,PHP错误日志配置,入侵检测基础。
21
Composer安全实践,如何检查依赖漏洞。
22
RESTful API认证方式(API Key, JWT, OAuth2),速率限制。
23
登录尝试限制,验证码集成,账户锁定策略。
24
PHP中的对称加密(AES)与非对称加密(RSA)实战。
25
命名规范、注释规范、代码审查清单。
26
2021版OWASP Top 10 在PHP中的对应防护。
27
Laravel/Symfony等主流框架内置的安全机制。
28
Docker环境下的PHP安全最佳实践。
29
网站被黑后怎么办?取证分析与恢复步骤。
30
构建一个安全的用户注册登录系统(含防SQL注入、XSS、CSRF、密码安全)。