PHP安全编程与防攻击实战
📚 30章 · 从入门到加固
01
PHP安全基础
为什么PHP应用容易成为攻击目标?常见攻击类型概览,安全开发原则。
02
输入验证与过滤
为什么输入验证如此重要?PHP中的过滤函数(filter_var, filter_input),正则表达式验证实战。
03
SQL注入攻击原理
什么是SQL注入?攻击者如何利用它?经典案例演示。
04
防御SQL注入
使用预处理语句(Prepared Statements)和参数化查询,PDO与MySQLi的安全实践。
05
跨站脚本攻击(XSS)
反射型、存储型、DOM型XSS的原理与危害。
06
防御XSS攻击
输出编码(htmlspecialchars, htmlentities),内容安全策略(CSP)基础。
07
跨站请求伪造(CSRF)
CSRF攻击原理,为什么它难以防范?
08
防御CSRF
使用Token验证,SameSite Cookie属性,Referer检查。
09
文件上传漏洞
攻击者如何利用文件上传?绕过技巧分析。
10
安全文件上传实战
文件类型验证、MIME类型检查、文件名安全处理、存储位置策略。
11
会话安全
会话劫持与固定攻击,安全的会话管理配置。
12
密码安全
密码存储的演变(MD5 → SHA → bcrypt/Argon2),PHP密码哈希函数详解。
13
文件包含漏洞
本地文件包含(LFI)与远程文件包含(RFI)的原理与利用。
14
防御文件包含
禁用危险函数,白名单策略,路径规范化。
15
命令注入攻击
攻击者如何通过PHP执行系统命令?常见危险函数。
16
防御命令注入
escapeshellcmd 与 escapeshellarg 的正确使用,禁用危险函数。
17
PHP配置安全
php.ini关键安全配置项详解(disable_functions, open_basedir, expose_php等)。
18
HTTPS与SSL/TLS
为什么你的网站必须使用HTTPS?PHP中强制HTTPS的几种方法。
19
安全HTTP头
X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security等头的设置。
20
日志与监控
记录安全事件,PHP错误日志配置,入侵检测基础。
21
依赖与第三方库安全
Composer安全实践,如何检查依赖漏洞。
22
API安全基础
RESTful API认证方式(API Key, JWT, OAuth2),速率限制。
23
防止暴力破解
登录尝试限制,验证码集成,账户锁定策略。
24
数据加密与解密
PHP中的对称加密(AES)与非对称加密(RSA)实战。
25
安全编码规范
命名规范、注释规范、代码审查清单。
26
OWASP Top 10 解读
2021版OWASP Top 10 在PHP中的对应防护。
27
框架安全
Laravel/Symfony等主流框架内置的安全机制。
28
容器与部署安全
Docker环境下的PHP安全最佳实践。
29
应急响应
网站被黑后怎么办?取证分析与恢复步骤。
30
综合实战
构建一个安全的用户注册登录系统(含防SQL注入、XSS、CSRF、密码安全)。