日常进行网站开发时，诸多安全方面的问题，皆是由于开发者对于来自外部输入的数据，予以太过依赖信任所导致 。

什么是外部数据

并不是由程序员在PHP脚本之中直接写入的所有信息，被称作外部数据。这涵盖着用户借助浏览器所提交的表单内容，还有网址里附带的查询参数，以及从数据库读取出来的记录，也包括存储于配置文件内的设置。只要数据并非来源于程序内部的硬编码，那么在其被验证以前，都应当被视作是不可靠的。

即便为源自你自家数据库的信息，亦或因早前遭受污染却而步入危险状况。所以，分辨“内部”与“外部”之举乃是构建安全思维的首要步骤，其核心要点在于认知到数据来源具备不可控性。

为何外部数据危险

之所以这些数据存在危险性，是由于攻击者能够对其内容实施完全的掌控，举例来说，用户能够对浏览器所发出的任何一项请求予以修改，又或者对发送至服务器的数据包进行操控，广泛存在的一种误解是对客户端的JavaScript验证予以依赖，而这是能够被轻易绕过去的。

进行攻击的人只要把网页存到本地，对表单的HTML代码作出修改，便能够提交任何数据。所以，服务器端的PHP代码是保卫的最终而且是仅有的可靠防线，绝对不可以假定前端传过来的数据是整齐或合乎规范的。

直接使用的风险

径直采用像是类似于那样类似 $username = $_POST[‘user’]; 这般的代码是极其不安全妥当的。这会致使让名为 $username 的那个变量径直直接被未经验证核查的用户进入填入。要是这段数据数值凭借被应用加以用在数据库查询查问或者系统命令指令，那么就开启打开了攻击的大门之门。

历史之中，PHP关于那 register_globals 的设置，曾致使此问题情形加重，它会自动地把GET、POST变量转变为全局变量，进而造成来源之处出现混淆现象。虽是现代的PHP版本在默认为禁用了这个功能，然而对其危害性予以理解，能够助力开发者更为严谨地去引用 $_POST、$_GET 等超全局数组，。

基础的过滤与验证

对外在数据予以处理开端步骤是实施过滤以及验证，举例而言，运用 htmlspecialchars() 函数能够有效阻止HTML标签被径直执行，进而规避跨站脚本攻击现象发生，针对预期为数字的输入情形，应当运用 intval() 或者 filter_var() 函数来展开强制类型转换操作。

验证需依据“白名单”原则来进行，也就是说只接纳符合清晰明确规则的那些值 ，举例来讲 ，要核查邮箱格式是不是合法的 ，用户名是不是仅仅包含被允许的字符 。即便验证是通过的 ，然而这些数据在进入到下一个关键要点环节比如数据库查询之前 ，依旧得开展转义处理 。

防范SQL注入攻击

把用户输入直接拼接进SQL语句的情况下，SQL注入属于极为常见的攻击之一，攻击者能够插入像单引号这样的特殊字符来改变查询原意，比如登录时输入 ‘ OR ‘1’=’1 当作密码，这有可能致使绕过验证 。

关键在于，防御要运用诸如参数化查询也就是所说的预处理语句，或者对输入实施转义操作。PHP的PDO或者MySQLi扩展具备预处理语句功能，此功能能够从根本上把数据和指令分离。若有必要进行拼接，那么应当使用像 mysqli_real_escape_string() 这般的专用转义函数。

构建全面的安全习惯

安全并非单一举措，乃是一整套习惯。除验证与转义外，还得考量运用数据库操作的最低权限原则，对敏感操作增添二次确认，以及留存日志得以过后审计。针对文件上传等功能，要严谨核查文件类型及内容。

定期去更新PHP以及它的扩展版本，目的在于修复那些已知的漏洞，这同样是相当关键重要的。开发者需要始终如一地保持“零信任”方面的心态，假定所有的外部数据全部都是带有恶意性质的，并且要以这样的前提条件来设计每一项具体的处理环节 。

于您过往的开发历程当中，哪一回是因对外部数据验证有所疏忽进而引发的程序漏洞或者安全方面的忧虑，这其中哪一次最令您记忆深刻呢？欢迎于评论区域分享您所经历的事情呀，要是感觉本文能带来一定帮助的话，烦请点赞或者分享给您一同工作的人员哟。