今天分享一篇關於PHP安全上的一些注意事項,文內提到了SQL Injection、XSS、CSRF及檔案上傳文件類型等,這些都是駭客時常利用的攻擊點,一起來看看怎麼防範吧。
原文出處:http://www.freebuf.com/articles/web/38383.html
波波觀點:PHP 安全要從輸入、狀態與檔案處理看
PHP 仍是許多網站和 WordPress 外掛的核心技術,常見風險包含 SQL Injection、XSS、CSRF、檔案上傳、反序列化、Session 管理與錯誤設定。學 PHP 安全時,不要只背漏洞名稱,而要理解資料如何從使用者輸入進入資料庫、模板、檔案系統與後端命令。
優先檢查項目
- 資料庫查詢是否使用 prepared statement,避免字串拼接 SQL。
- 輸出到 HTML、屬性、JavaScript、URL 時是否做正確 escaping。
- 表單、管理動作與敏感 API 是否有 CSRF token 與權限檢查。
- 檔案上傳是否限制副檔名、MIME、大小、儲存路徑與執行權限。
- 正式環境是否關閉 debug、錯誤顯示與不必要的 phpinfo。
實務建議
對 WordPress 站台而言,外掛與佈景主題是 PHP 安全的主要風險來源。除了定期更新,也應移除不用的外掛、限制後台登入、關閉 XML-RPC、做好備份,並在 Cloudflare、Nginx 與 PHP-FPM 層面降低可被濫用的入口。










