PHP接口作为前后端数据交互的核心入口,其安全性直接关系到整个系统的稳定与用户数据的安全,做好接口安全防护是开发过程中不可忽视的环节。
身份认证与权限控制
接口首先要确认请求方的合法身份,避免未授权访问。常用的认证方式有Token认证和JWT认证,Token可以存储在Redis中设置过期时间,每次请求携带Token进行校验。
同时要做好权限分级,不同角色的用户只能访问对应权限的接口,比如普通用户不能调用管理员专属的接口。可以在认证通过后,根据用户的角色标识判断接口访问权限。
<?php
// Token认证示例
function checkToken($token) {
// 连接Redis
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
// 验证Token是否存在且未过期
$userId = $redis->get('token:' . $token);
if (!$userId) {
return ['code' => 401, 'msg' => '未授权,请重新登录'];
}
return ['code' => 200, 'user_id' => $userId];
}
// 权限校验示例
function checkPermission($userId, $interface) {
// 假设从数据库获取用户角色,这里简化为数组
$userRole = getUserRole($userId);
$permissionMap = [
'admin' => ['/api/user/list', '/api/config/update'],
'user' => ['/api/user/info', '/api/order/list']
];
if (!in_array($interface, $permissionMap[$userRole])) {
return ['code' => 403, 'msg' => '无权限访问该接口'];
}
return ['code' => 200];
}
?>参数校验与过滤
所有接口接收到的参数都不能直接信任,需要做好类型和格式校验,同时对特殊字符进行过滤,避免恶意参数传入导致安全问题。
- 对必填参数做非空校验,缺失参数直接返回错误提示
- 对参数的类型做校验,比如数字参数要验证是否为整型,邮箱参数要验证格式是否正确
- 使用
htmlspecialchars、mysqli_real_escape_string等函数过滤特殊字符,避免XSS和SQL注入
<?php
// 参数校验示例
function validateParams($params) {
// 校验用户ID是否为正整数
if (!isset($params['user_id']) || !is_numeric($params['user_id']) || $params['user_id'] <= 0) {
return ['code' => 400, 'msg' => '用户ID参数不合法'];
}
// 校验邮箱格式
if (isset($params['email']) && !filter_var($params['email'], FILTER_VALIDATE_EMAIL)) {
return ['code' => 400, 'msg' => '邮箱格式不正确'];
}
// 过滤XSS字符
$filteredParams = array_map(function($val) {
return htmlspecialchars($val, ENT_QUOTES, 'UTF-8');
}, $params);
return ['code' => 200, 'data' => $filteredParams];
}
?>常见攻击防护措施
CSRF攻击防护
CSRF攻击是攻击者诱导用户在已登录的系统中执行非预期操作,可以在接口中增加CSRF Token校验,Token由服务端生成,存储在表单或请求头中,每次请求验证Token是否匹配。
<?php
// 生成CSRF Token
function generateCsrfToken() {
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
return $token;
}
// 校验CSRF Token
function checkCsrfToken($inputToken) {
if (!isset($_SESSION['csrf_token']) || $inputToken !== $_SESSION['csrf_token']) {
return ['code' => 403, 'msg' => 'CSRF校验失败'];
}
return ['code' => 200];
}
?>SQL注入防护
SQL注入是攻击者通过构造恶意SQL语句获取或篡改数据库数据,要避免直接拼接SQL语句,使用预编译语句或者ORM框架操作数据库。
<?php
// 预编译语句防SQL注入示例
$mysqli = new mysqli('127.0.0.1', 'db_user', 'db_pass', 'test_db');
$userId = $_GET['user_id'];
// 使用?占位符,参数绑定
$stmt = $mysqli->prepare('SELECT * FROM users WHERE id = ?');
$stmt->bind_param('i', $userId); // i表示整型参数
$stmt->execute();
$result = $stmt->get_result();
$userInfo = $result->fetch_assoc();
?>重放攻击防护
重放攻击是攻击者重复发送已经截获的合法请求,可以在请求中增加时间戳和随机 nonce 值,服务端校验时间戳是否在有效范围内,同时记录已使用的nonce值,避免重复请求。
<?php
// 重放攻击防护示例
function checkReplayAttack($timestamp, $nonce, $sign) {
// 时间戳有效期为60秒
if (time() - $timestamp > 60) {
return ['code' => 400, 'msg' => '请求已过期'];
}
// 校验nonce是否已被使用,这里用Redis存储
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
if ($redis->exists('nonce:' . $nonce)) {
return ['code' => 400, 'msg' => '请求重复,请重试'];
}
// 存储nonce,设置60秒过期
$redis->setex('nonce:' . $nonce, 60, 1);
return ['code' => 200];
}
?>其他安全优化措施
除了上述措施,还可以做更多安全优化:限制接口的访问频率,避免被恶意刷接口;对敏感数据做加密传输,使用HTTPS协议;记录接口的请求日志,方便出现问题时溯源;定期更新PHP版本和依赖组件,修复已知的安全漏洞。
做好PHP接口的安全防护需要覆盖多个环节,从认证到参数处理再到攻击防御,每一步都不能松懈,才能最大程度保障接口的安全稳定运行。