PHP Saugumo Priemonės: Išsamus Vadovas

Gozge · Bal 11, 2025, 11:28 AM

PHP yra viena populiariausių interneto svetainių kūrimo kalbų, tačiau netinkamas jos naudojimas gali sukelti rimtų saugumo problemų. Šiame straipsnyje aptarsime pagrindines PHP saugumo priemones, pateiksime praktinius kodų pavyzdžius ir atsakysime į dažniausiai užduodamus klausimus (FAQs). Mūsų tikslas – padėti kūrėjams kurti saugesnes programas.

1. Įvesties Duomenų Validacija ir Filtravimas
Vartotojų pateikiami duomenys (pvz., formų laukeliai, URL parametrai) yra dažna saugumo spragų priežastis. Norint apsisaugoti, būtina validuoti ir filtruoti visus įvesties duomenis.

Pagrindiniai Principai:

Validacija: Patikrinkite, ar duomenys atitinka numatytą formatą (pvz., el. pašto adresas, skaičius).
Filtravimas: Pašalinkite arba neutralizuokite pavojingus simbolius.

Kodų Pavyzdys:

Kodas [Pasirinkti]

<?php
// Vartotojo vardo validacija
$username = $_POST['username'] ?? '';

if (!preg_match('/^[a-zA-Z0-9]{3,20}$/', $username)) {
    die('Netinkamas vartotojo vardas! Naudokite tik raides ir skaičius, 3-20 simbolių.');
}

// El. pašto filtravimas
$email = filter_var($_POST['email'] ?? '', FILTER_SANITIZE_EMAIL);
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    die('Netinkamas el. pašto formatas!');
}

echo "Duomenys sėkmingai apdoroti: $username, $email";
?>

Patarimai:

Naudokite filter_var() ir reguliariąsias išraiškas (preg_match).
Venkite tiesioginio $_GET ar $_POST naudojimo be patikrinimo.

2. Apsauga nuo SQL Injekcijų
SQL injekcijos įvyksta, kai užpuolikas per formą įterpia kenksmingą SQL kodą. Tai gali leisti pavogti, pakeisti ar ištrinti duomenis iš duomenų bazės.

Sprendimas: Paruošti Užklausos (Prepared Statements)
Paruoštos užklausos (angl. prepared statements) atskiria SQL kodą nuo vartotojo duomenų, todėl injekcijos tampa neįmanomos.

Kodų Pavyzdys:

Kodas [Pasirinkti]

<?php
try {
    $pdo = new PDO("mysql:host=localhost;dbname=test", "root", "");
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Paruošta užklausa
    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND email = :email");
    $stmt->execute([
        'username' => $_POST['username'] ?? '',
        'email' => $_POST['email'] ?? ''
    ]);

    $user = $stmt->fetch(PDO::FETCH_ASSOC);
    if ($user) {
        echo "Vartotojas rastas!";
    } else {
        echo "Vartotojas nerastas.";
    }
} catch (PDOException $e) {
    die("Klaida: " . $e->getMessage());
}
?>

Patarimai:

Visada naudokite PDO arba MySQLi su paruoštomis užklausomis.
Venkite seno mysql_* funkcijų rinkinio – jis pasenęs ir nesaugus.

3. Apsauga nuo XSS (Cross-Site Scripting)
XSS leidžia užpuolikui įterpti kenksmingą JavaScript kodą į svetainę, kuris gali būti vykdomas kitų vartotojų naršyklėse.

Sprendimas: Duomenų Kodavimas ir Escaping
Visada koduokite (angl. escape) išvesties duomenis, kad jie būtų rodomi kaip tekstas, o ne vykdomas kodas.

Kodų Pavyzdys:

Kodas [Pasirinkti]

<?php
$comment = $_POST['comment'] ?? '';

// Komentaro kodavimas prieš rodant
$safeComment = htmlspecialchars($comment, ENT_QUOTES, 'UTF-8');

echo "<div>Komentaras: $safeComment</div>";
?>

Patarimai:

Naudokite htmlspecialchars() visada, kai rodote vartotojo įvestus duomenis.
Jei leidžiate HTML turinį, naudokite bibliotekas, pvz., HTMLPurifier, kad pašalintumėte kenksmingą kodą.

4. CSRF (Cross-Site Request Forgery) Apsauga
CSRF ataka verčia vartotoją atlikti nepageidaujamus veiksmus (pvz., pakeisti slaptažodį), jei jis jau yra prisijungęs.

Sprendimas: CSRF Žetonai
Kiekvienai formai pridėkite unikalų žetoną, kuris patikrina, ar užklausa yra teisėta.

Kodų Pavyzdys:

Kodas [Pasirinkti]

<?php
session_start();

// Sukuriame CSRF žetoną
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
?>

<form method="POST" action="process.php">
    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
    <input type="text" name="username" placeholder="Vartotojo vardas">
    <button type="submit">Siųsti</button>
</form>

<?php
// process.php
session_start();

if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die('Netinkamas CSRF žetonas!');
}

// Toliau apdorojame formą...
?>

Patarimai:

Naudokite random_bytes() žetonų generavimui.
Atnaujinkite žetoną po kiekvienos sėkmingos užklausos.

5. Saugus Failų Įkėlimas
Failų įkėlimas gali būti pavojingas, jei užpuolikas įkelia kenksmingą kodą (pvz., PHP skriptą).

Pagrindiniai Principai:

Tikrinkite failų tipą ir dydį.
Perkelkite failus į saugią direktoriją už viešosios prieigos ribų.
Pakeiskite failų pavadinimus.

Kodų Pavyzdys:

Kodas [Pasirinkti]

<?php
$uploadDir = 'uploads/';
$allowedTypes = ['image/jpeg', 'image/png'];

if ($_FILES['userfile']['error'] === UPLOAD_ERR_OK) {
    $fileType = mime_content_type($_FILES['userfile']['tmp_name']);
    if (!in_array($fileType, $allowedTypes)) {
        die('Netinkamas failo formatas! Leidžiami tik JPG ir PNG.');
    }

    // Generuojame unikalų failo pavadinimą
    $newFileName = uniqid() . '.png';
    $destination = $uploadDir . $newFileName;

    if (move_uploaded_file($_FILES['userfile']['tmp_name'], $destination)) {
        echo "Failas sėkmingai įkeltas!";
    } else {
        echo "Klaida įkeliant failą.";
    }
} else {
    echo "Failo įkėlimo klaida.";
}
?>

Patarimai:

Naudokite mime_content_type() failo tipo patikrinimui.
Apribokite failų dydį per php.ini (upload_max_filesize).

6. Slaptažodžių Saugojimas
Niekada nesaugokite slaptažodžių grynu tekstu. Naudokite stiprius maišos algoritmus.

Kodų Pavyzdys:

Kodas [Pasirinkti]

<?php
$password = $_POST['password'] ?? '';

// Slaptažodžio maiša
$hashedPassword = password_hash($password, PASSWORD_BCRYPT);

// Patikrinimas
if (password_verify($password, $hashedPassword)) {
    echo "Slaptažodis teisingas!";
} else {
    echo "Slaptažodis neteisingas.";
}
?>

Patarimai:

Naudokite password_hash() ir password_verify().
BCRYPT yra numatytasis algoritmas, kuris reguliariai atnaujinamas.

Dažniausiai Užduodami Klausimai (FAQs)
K: Kodėl svarbu validuoti įvesties duomenis?
A: Nevaliduoti duomenys gali leisti užpuolikui įterpti kenksmingą kodą, pvz., SQL injekcijas ar XSS atakas.

K: Ar PDO visiškai apsaugo nuo SQL injekcijų?
A: Taip, jei naudojate paruoštas užklausas teisingai. Tačiau visada tikrinkite kitus įvesties šaltinius.

K: Kaip dažnai turėčiau atnaujinti CSRF žetoną?
A: Geriausia atnaujinti po kiekvienos sėkmingos formos pateikimo, kad sumažintumėte pakartotinio naudojimo riziką.

K: Ar htmlspecialchars() pakanka XSS apsaugai?
A: Paprastais atvejais taip, bet jei leidžiate HTML turinį, naudokite papildomas bibliotekas, pvz., HTMLPurifier.

K: Kaip apsaugoti PHP sesijas?
A: Naudokite session_regenerate_id() po prisijungimo, įjunkite session.use_strict_mode ir nustatykite saugius slapukus (HttpOnly, Secure).

Išvada
PHP saugumo užtikrinimas reikalauja nuolatinio dėmesio ir gerų praktikų taikymo. Validuokite ir filtruokite įvesties duomenis, naudokite paruoštas užklausas, koduokite išvestį, apsaugokite formas ir failų įkėlimą, taip pat saugiai laikykite slaptažodžius. Laikydamiesi šių principų, galite žymiai sumažinti savo programos pažeidžiamumą.

PHP Saugumo Priemonės: Išsamus Vadovas

Gozge