保护 PHP 数据免受各种攻击

Question

我是 PHP 安全新手，正在尝试实施 PDO 以外的解决方案。
我在这里阅读了几篇关于 stackoverflow 的文章，并在 Google 上搜索了许多文章。
我尝试编写自己的代码来保护用户输入。
如果我在这里留下任何东西或者我在这里使用了任何不必要的东西，我会请这里的专家看看并指导我。
我也错过了 CSRF 预防。除了随机令牌生成之外还有什么别的吗？这可以使用任何函数来实现吗？

extract($_POST);
$stuid = filter_input(INPUT_GET, 'stud_id', FILTER_SANITIZE_SPECIAL_CHARS); //php filter extension
$stuid = trim($stuid);
$stuid = strip_tags($stuid);
$stuid = iconv('UTF-8', 'UTF-8//IGNORE', $stuid); //remove invalid characters.
$stuid = htmlspecialchars($stuid, ENT_COMPAT, 'UTF-8'); // manual escaping
$stuid = mysql_real_escape_string($stuid);
$stuid = htmlspecialchars($stuid, ENT_COMPAT, 'UTF-8'); //Cross site scripting (XSS)
$email = filter_input(INPUT_POST, $email, FILTER_SANITIZE_EMAIL);
$pass=md5($pass);

提前致谢。

Answer 1

如果我的用户已经提交了一条数据供数据库存储，那么我需要确保我已经对其进行了清理并使用了参数化查询：

/* Prepare an insert statement */
$query = "INSERT INTO myTable (DangerousData, MoreDangerousData) VALUES (?, ?)";
$stmt = $mysqli->prepare($query);

$stmt->bind_param($val1, $val2);

// white listing is always the MOST secure since we control the data
switch ($_POST['DangerousData']) {
  case 'Lamb': $val1 = 'Lamb'; break;
  case 'Sheep': $val1 = 'Sheep'; break;
  // so if they send something not allowed, we have a default
  default: $val1 = 'WolfinsheepsClothing';
}

// otherwise, the parametization of the statement will
// clean the data properly and prevent any SQL injection
$val2 = $_POST['MoreDangerousData'];

/* Execute the statement */
$stmt->execute();

就电子邮件而言，您需要研究互联网上的示例，了解如何根据您希望使用的目的正确清理来自用户的输入 - 大多数人使用正则表达式来验证电子邮件的安全性和有效性电子邮件。

Stackoverflow can help you validate an email.

Stackoverflow can help sanitize user input, too.