16、PHP安全与加密：关键概念与实践

PHP安全与加密：关键概念与实践

1. 随机数生成器警告

在加密领域，密码学安全的伪随机数生成器（CSPRNG）至关重要。其输出与随机噪声难以区分。像梅森旋转算法（Mersenne Twister）这类算法，虽看似“足够随机”能骗过人类，但实际上，计算机根据一系列先前输出很容易预测甚至破解其结果。若攻击者能可靠预测随机数生成器的输出，那么基于该生成器保护的任何信息都可能被解密。

2. 用户输入的过滤、验证和清理

在应用程序中，对用户输入进行验证和清理是保障数据安全的重要步骤。
- 问题 ：在应用程序的其他部分使用不可信用户提供的特定值之前，需要对其进行验证。
- 解决方案 ：使用 filter_var() 函数验证值是否符合特定期望。例如：

$email = $_GET['email']; 
$filtered = filter_var($email, FILTER_VALIDATE_EMAIL);

• 讨论 ：PHP的过滤扩展允许验证数据是否符合特定格式或类型，或者清理不符合验证的数据。验证和清理的区别在于，清理会从值中移除无效字符，而验证在最终清理后的输入不是有效类型时会明确返回 false 。
  • 验证示例 ：