php利用程序的安全的4条安全规则

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

web安全在于代码本身和服务器安全配置

规则 1：尽不要信任外部数据或输进

关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。在采取措施确保安全之前，来自任何其他来源（比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie）的任何数据都是不可信任的。

例如，下面的数据元素可以被以为是安全的，由于它们是在 PHP 中设置的。

清单 1. 安全无暇的代码

$myUsername = 'tmyer'; $arrayUsers = array('tmyer', 'tom', 'tommy'); define("GREETING", 'hello there' . $myUsername); ?>

但是，下面的数据元素都是有瑕疵的。

清单 2. 不安全、有瑕疵的代码

$myUsername = $_POST['username']; //tainted! $arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted! define("GREETING", 'hello there' . $myUsername); //tainted! ?>

为甚么第1个变量 $myUsername 是有瑕疵的？由于它直接来自表单 POST。用户可以在这个输进域中输进任何字符串，包括用来清除文件或运行之前上传的文件的恶意命令。您可能会问，“难道不能使用只接受字母 A-Z 的客户端（Javascrīpt）表单检验脚本来避免这类危险吗？”是的，这总是1个有好处的步骤，但是正如在后面会看到的，任何人都可以将任何表单下载 到自己的机器上，修改它，然后重新提交他们需要的任何内容。

解决方案很简单：必须对 $_POST['username'] 运行清算代码。假设不这么做，那末在使用 $myUsername 的任何其他时候（比如在数组或常量中），便可能污染这些对象。

对用户输进进行清算的1个简单方法是，使用正则表达式来处理它。在这个示例中，只希看接受字母。将字符串限制为特定数目的字符，或要求所有字母都是小写的，这可能也是个好主张。

清单 3. 使用户输进变得安全

$myUsername = cleanInput($_POST['username']); //clean! $arrayUsers = array($myUsername, 'tom', 'tommy'); //clean! define("GREETING", 'hello there' . $myUsername); //clean! function cleanInput($input){ $clean = strtolower($input); $clean = preg_replace("/[^a-z]/", "", $clean); $clean = substr($clean,0,12); return $clean; } ?>

 

1 2 3 4 5 6 7 下1页

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

规则 2：禁用那些使安全性难以实行的 PHP 设置

已知道了不能信任用户输进，还应当知道不应当信任机器上配置 PHP 的方式。例如，要确保禁用 register_globals。假设启用了 register_globals，便可能做1些粗心的事情，比如使用 $variable 替换同名的 GET 或 POST 字符串。通过禁用这个设置，PHP 逼迫您在正确的名称空间中援用正确的变量。要使用来自表单 POST 的变量，应当援用 $_POST['variable']。这样就不会将这个特定变量误解成 cookie、会话或 GET 变量。

规则 3：假设不能理解它，就不能保护它

1些开发职员使用希奇的语法，或将语句组织得很紧凑，构成简短但是含义模糊的代码。这类方式可能效率高，但是假设您不理解代码正在做甚么，那末就没法决定如何保护它。

例如，您喜欢下面两段代码中的哪1段？

清单 4. 使代码轻易得到保护

//obfuscated code $input = (isset($_POST['username']) ? $_POST['username']:''); //unobfuscated code $input = ''; if (isset($_POST['username'])){ $input = $_POST['username']; }else{ $input = ''; } ?>

在第2个比较清楚的代码段中，很轻易看出 $input 是有瑕疵的，需要进行清算，然后才能安全地处理。

上1页 1 2 3 4 5 6 7 下1页

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

规则 4：“纵深防御” 是新的宝贝

本教程将用示例来讲明如何保护在线表单，同时在处理表单的 PHP 代码中采取必要的措施。一样，即使使用 PHP regex 来确保 GET 变量完全是数字的，依然可以采取措施确保 SQL 查询使用转义的用户输进。

纵深防御不只是1种好思想，它可以确保您不会陷进严重的麻烦。

既然已讨论了基本规则，现在就来研究第1种要挟：SQL 注进攻击。

 

避免 SQL 注进攻击

在 SQL 注进攻击 中，用户通过操纵表单或 GET 查询字符串，将信息添加到数据库查询中。例如，假定有1个简单的登录数据库。这个数据库中的每个记录都有1个用户名字段和1个密码字段。构建1个登录表单，让用户能够登录。

清单 5. 简单的登录表单

Username Password

这个表单接受用户输进的用户名和密码，并将用户输进提交给名为 verify.php 的文件。在这个文件中，PHP 处理来自登录表单的数据，以下所示：

清单 6. 不安全的 PHP 表单处理代码

$okay = 0; $username = $_POST['user']; $pw = $_POST['pw']; $sql = "select count(*) as ctr from users where username='".$username."' and password='". $pw."' limit 1"; $result = mysql_query($sql); while ($data = mysql_fetch_object($result)){ if ($data->ctr == 1){ //they're okay to enter the application! $okay = 1; } } if ($okay){ $_SESSION['loginokay'] = true; header("index.php"); }else{ header("login.php"); } ?>

这段代码看起来没题目，对吗？世界各地成百（乃至成千）的 PHP/MySQL 站点都在使用这样的代码。它错在哪里？好，记住 “不能信任用户输进”。这里没有对来自用户的任何信息进行转义，因此使利用程序轻易遭到攻击。具体来讲，可能会出现任何类型的 SQL 注进攻击。

例如，假设用户输进 foo 作为用户名，输进 ' or '1'='1 作为密码，那末实际上会将以下字符串传递给 PHP，然后将查询传递给 MySQL：

$sql = "select count(*) as ctr from users where username='foo' and password='' or '1'='1' limit 1"; ?>

这个查询总是返回计数值 1，因此 PHP 会答应进行访问。通过在密码字符串的末尾注进某些恶意 SQL，黑客便可以打扮成正当的用户。

解决这个题目的办法是，将 PHP 的内置 mysql_real_escape_string() 函数用作任何用户输进的包装器。这个函数对字符串中的字符进行转义，使字符串不可能传递撇号等特殊字符并让 MySQL 根据特殊字符进行操纵。清单 7 展现了带转义处理的代码。

清单 7. 安全的 PHP 表单处理代码

$okay = 0; $username = $_POST['user']; $pw = $_POST['pw']; $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". mysql_real_escape_string($pw)."' limit 1"; $result = mysql_query($sql); while ($data = mysql_fetch_object($result)){ if ($data->ctr == 1){ //they're okay to enter the application! $okay = 1; } } if ($okay){ $_SESSION['loginokay'] = true; header("index.php"); }else{ header("login.php"); } ?>

使用 mysql_real_escape_string() 作为用户输进的包装器，便可以够避免用户输进中的任何恶意 SQL 注进。假设用户尝试通过 SQL 注进传递畸形的密码，那末会将以下查询传递给数据库：

select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1' limit 1"

数据库中没有任何东西与这样的密码匹配。仅仅采取1个简单的步骤，就堵住了 Web 利用程序中的1个大漏洞。这里得出的经验是，总是应当对 SQL 查询的用户输进进行转义。

但是，还有几个安全漏洞需要堵住。下1项是操纵 GET 变量。

上1页 1 2 3 4 5 6 7 下1页

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

 

避免用户操纵 GET 变量

在前1节中，避免了用户使用畸形的密码进行登录。假设您很聪明，应当利用您学到的方法，确保对 SQL 语句的所有用户输进进行转义。

但 是，用户现在已安全地登录了。用户具有有效的密码，其实不意味着他将依照规则行事 —— 他有很多机会能够造成侵害。例如，利用程序可能答利用户查看特殊的内容。所有链接指向 template.php?pid=33 或 template.php?pid=321 这样的位置。URL 中问号后面的部份称为查询字符串。由于查询字符串直接放在 URL 中，所以也称为 GET 查询字符串。

在 PHP 中，假设禁用了 register_globals，那末可以用 $_GET['pid'] 访问这个字符串。在 template.php 页面中，可能会履行与清单 8 类似的操纵。

清单 8. 示例 template.php

$pid = $_GET['pid']; //we create an object of a fictional class Page $obj = new Page; $content = $obj->fetchPage($pid); //and now we have a bunch of PHP that displays the page ?>

 

这里有甚么错吗？首先，这里隐含地相信来自浏览器的 GET 变量 pid 是安全的。这会怎样样呢？大多数用户没那末聪明，没法构造出语义攻击。但是，假设他们留意到浏览器的 URL 位置域中的 pid=33，便可能开始捣乱。假设他们输进另1个数字，那末可能没题目；但是假设输进别的东西，比如输进 SQL 命令或某个文件的名称（比如 /etc/passwd），或弄别的恶作剧，比如输进长达 3,000 个字符的数值，那末会产生甚么呢？

在这类情况下，要记住基本规则，不要信任用户输进。利用程序开发职员知道 template.php 接受的个人标识符（PID）应当是数字，所以可使用 PHP 的 is_numeric() 函数确保不接受非数字的 PID，以下所示：

清单 9. 使用 is_numeric() 来限制 GET 变量

$pid = $_GET['pid']; if (is_numeric($pid)){ //we create an object of a fictional class Page $obj = new Page; $content = $obj->fetchPage($pid); //and now we have a bunch of PHP that displays the page }else{ //didn't pass the is_numeric() test, do something else! } ?>

这个方法仿佛是有效的，但是以下这些输进都能够轻松地通过 is_numeric() 的检查：

100 （有效） 100.1 （不应当有小数位） +0123.45e6 （科学计数法 —— 不好） 0xff33669f （106进制 —— 危险！危险！）

那末，有安全意识的 PHP 开发职员应当怎样做呢？多年的经验表明，最好的做法是使用正则表达式来确保全部 GET 变量由数字组成，以下所示：

清单 10. 使用正则表达式限制 GET 变量

$pid = $_GET['pid']; if (strlen($pid)){ if (!ereg("^[0⑼]+$",$pid)){ //do something appropriate, like maybe logging them out or sending them back to home page } }else{ //empty $pid, so send them back to the home page } //we create an object of a fictional class Page, which is now //moderately protected from evil user input $obj = new Page; $content = $obj->fetchPage($pid); //and now we have a bunch of PHP that displays the page ?>

需要做的只是使用 strlen() 检查变量的长度是否是非零；假设是，就使用1个全数字正则表达式来确保数据元素是有效的。假设 PID 包括字母、斜线、点号或任何与106进制类似的内容，那末这个例程捕捉它并将页面从用户活动中屏蔽。假设看1下 Page 类幕后的情况，就会看到有安全意识的 PHP 开发职员已对用户输进 $pid 进行了转义，从而保护了 fetchPage() 方法，以下所示：

清单 11. 对 fetchPage() 方法进行转义

class Page{ function fetchPage($pid){ $sql = "select pid,title,desc,kw,content,status from page where pid='".mysql_real_escape_string($pid)."'"; } } ?>

您可能会问，“既然已确保 PID 是数字，那末为甚么还要进行转义？” 由于不知道在多少不同的上下文和情况中会使用 fetchPage() 方法。必须在调用这个方法的所有地方进行保护，而方法中的转义体现了纵深防御的意义。

假设用户尝试输进非常长的数值，比如长达 1000 个字符，试图发起缓冲区溢出攻击，那末会产生甚么呢？下1节更具体地讨论这个题目，但是目前可以添加另1个检查，确保输进的 PID 具有正确的长度。您知道数据库的 pid 字段的最大长度是 5 位，所以可以添加下面的检查。

清单 12. 使用正则表达式和长度检查来限制 GET 变量

$pid = $_GET['pid']; if (strlen($pid)){ if (!ereg("^[0⑼]+$",$pid) && strlen($pid) > 5){ //do something appropriate, like maybe logging them out or sending them back to home page } } else { //empty $pid, so send them back to the home page } //we create an object of a fictional class Page, which is now //even more protected from evil user input $obj = new Page; $content = $obj->fetchPage($pid); //and now we have a bunch of PHP that displays the page ?>

现在，任何人都没法在数据库利用程序中塞进1个 5,000 位的数值 —— 最少在触及 GET 字符串的地方不会有这类情况。想像1下黑客在试图突破您的利用程序而遭到挫折时怒目切齿的模样吧！而且由于封闭了毛病报告，黑客更难进行侦察。

上1页 1 2 3 4 5 6 7 下1页

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

 

缓冲区溢出攻击

缓冲区溢出攻击 试图使 PHP 利用程序中（或更精确地说，在 Apache 或底层操纵系统中）的内存分配缓冲区产生溢出。请记住，您多是使用 PHP 这样的高级语言来编写 Web 利用程序，但是终极还是要调用 C（在 Apache 的情况下）。与大多数低级语言1样，C 对内存分配有严格的规则。

缓冲区溢出攻击向缓冲区发送大量数据，使部份数据溢出到相邻的内存缓冲区，从而破坏缓冲区或重写逻辑。这样便可以够造成拒尽服务、破坏数据或在远程服务器上履行恶意代码。

避免缓冲区溢出攻击的惟1方法是检查所有用户输进的长度。例如，假设有1个表单元素要求输进用户的名字，那末在这个域上添加值为 40 的 maxlength 属性，并在后端使用 substr() 进行检查。清单 13 给出表单和 PHP 代码的简短示例。

清单 13. 检查用户输进的长度

if ($_POST['submit'] == "go"){ $name = substr($_POST['name'],0,40); } ?> Name

为甚么既提供 maxlength 属性，又在后端进行 substr() 检查？由于纵深防御总是好的。浏览器避免用户输进 PHP 或 MySQL 不能安全地处理的超长字符串（想像1下有人试图输进长达 1,000 个字符的名称），而后端 PHP 检查会确保没有人远程地或在浏览器中操纵表单数据。

正如您看到的，这类方式与前1节中使用 strlen() 检查 GET 变量 pid 的长度类似。在这个示例中，忽视长度超过 5 位的任何输进值，但是也能够很轻易地将值截短到适当的长度，以下所示：

清单 14. 改变输进的 GET 变量的长度

$pid = $_GET['pid']; if (strlen($pid)){ if (!ereg("^[0⑼]+$",$pid)){ //if non numeric $pid, send them back to home page } }else{ //empty $pid, so send them back to the home page } //we have a numeric pid, but it may be too long, so let's check if (strlen($pid)>5){ $pid = substr($pid,0,5); } //we create an object of a fictional class Page, which is now //even more protected from evil user input $obj = new Page; $content = $obj->fetchPage($pid); //and now we have a bunch of PHP that displays the page ?>

留意，缓冲区溢出攻击其实不限于长的数字串或字母串。也可能会看到长的106进制字符串（常常看起来像 \xA3 或 \xFF）。记住，任何缓冲区溢出攻击的目的都是沉没特定的缓冲区，并将恶意代码或指令放到下1个缓冲区中，从而破坏数据或履行恶意代码。对付106进制缓 冲区溢出最简单的方法也是不答应输进超过特定的长度。

假设您处理的是答应在数据库中输进较长条目的表单文本区，那末没法在客户端轻松地限制数据的长度。在数据到达 PHP 以后，可使用正则表达式清除任何像106进制的字符串。

清单 15. 避免106进制字符串

if ($_POST['submit'] == "go"){ $name = substr($_POST['name'],0,40); //clean out any potential hexadecimal characters $name = cleanHex($name); //continue processing.... } function cleanHex($input){ $clean = preg_replace("![\][xX]([A-Fa-f0⑼]{1,3})!", "",$input); return $clean; } ?> Name

您可能会发现这1系列操纵有点儿太严格了。究竟，106进制串有正当的用处，比如输出外语中的字符。如何部署106进制 regex 由您自己决定。比较好的策略是，只有在1行中包括过量106进制串时，或字符串的字符超过特定数目（比如 128 或 255）时，才删除106进制串。

上1页 1 2 3 4 5 6 7 下1页

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

 

跨站点脚本攻击

在跨站点脚本（XSS）攻击中，常常有1个恶意用户在表单中（或通过其他用户输进方式）输进信息，这些输进将恶 意的客户端标记插进进程或数据库中。例如，假定站点上有1个简单的来客登记簿程序，让访问者能够留下姓名、电子邮件地址和简短的消息。恶意用户可以利用这 个机会插进简短消息之外的东西，比如对其他用户分歧适的图片或将用户重定向到另1个站点的 Javascrīpt，或盗取 cookie 信息。

荣幸的是，PHP 提供了 strip_tags() 函数，这个函数可以清除任何包围在 HTML 标记中的内容。strip_tags() 函数还答应提供答应标记的列表，比如 或 。

浏览器内的数据操纵

有1类浏览器插件答利用户篡改页面上的头部元素和表单元素。使用 Tamper Data（1个 Mozilla 插件），可以很轻易地操纵包括很多隐躲文本字段的简单表单，从而向 PHP 和 MySQL 发送指令。

用户在点击表单上的 Submit 之前，他可以启动 Tamper Data。在提交表单时，他会看到表单数据字段的列表。Tamper Data 答利用户篡改这些数据，然后浏览器完成表单提交。

让我们回到前面建立的示例。已检查了字符串长度、清除 HTML 标记并删除106进制字符。但是，添加了1些隐躲的文本字段，以下所示：

清单 17. 隐躲变量

if ($_POST['submit'] == "go"){ //strip_tags $name = strip_tags($_POST['name']); $name = substr($name,0,40); //clean out any potential hexadecimal characters $name = cleanHex($name); //continue processing.... } function cleanHex($input){ $clean = preg_replace("![\][xX]([A-Fa-f0⑼]{1,3})!", "",$input); return $clean; } ?> Name

留意，隐躲变量之1暴露了表名：users。还会看到1个值为 create 的 action 字段。只要有基本的 SQL 经验，便可以够看出这些命令可能控制着中间件中的1个 SQL 引擎。想弄大破坏的人只需改变表名或提供另1个选项，比如 delete。

上1页 1 2 3 4 5 6 7 下1页

核心提示：关于 Web 利用程序安全性，必须熟习到的第1件事是不应当信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输进的任何数据。

现在还剩下甚么题目呢？远程表单提交。

远程表单提交

Web 的好处是可以分享信息和服务。坏处也是可以分享信息和服务，由于有些人做事毫无顾忌。

以 表单为例。任何人都能够访问1个 Web 站点，并使用浏览器上的 File > Save As 建立表单的本地副本。然后，他可以修改 action 参数来指向1个完全限定的 URL（不指向 formHandler.php，而是指向 http://www.chinaz.com/formHandler.php，由于表单在这个站点上），做他希看的任何修改，点击 Submit，服务器会把这个表单数据作为正当通讯流接收。

首先可能考虑检查 $_SERVER['HTTP_REFERER']，从而判定要求是否是来自自己的服务器，这类方法可以挡住大多数恶意用户，但是挡不住最高明的黑客。这些人足够聪明，能够篡改头部中的援用者信息，使表单的远程副本看起来像是从您的服务器提交的。

处理远程表单提交更好的方式是，根据1个惟1的字符串或时间戳天生1个令牌，并将这个令牌放在会话变量和表单中。提交表单以后，检查两个令牌是否是匹配。假设不匹配，就知道有人试图从表单的远程副本发送数据。

要创建随机的令牌，可使用 PHP 内置的 md5()、uniqid() 和 rand() 函数，以下所示：

清单 18. 防御远程表单提交

session_start(); if ($_POST['submit'] == "go"){ //check token if ($_POST['token'] == $_SESSION['token']){ //strip_tags $name = strip_tags($_POST['name']); $name = substr($name,0,40); //clean out any potential hexadecimal characters $name = cleanHex($name); //continue processing.... }else{ //stop all processing! remote form posting attempt! } } $token = md5(uniqid(rand(), true)); $_SESSION['token']= $token; function cleanHex($input){ $clean = preg_replace("![\][xX]([A-Fa-f0⑼]{1,3})!", "",$input); return $clean; } ?> Name

这类技术是有效的，这是由于在 PHP 中会话数据没法在服务器之间迁移。即使有人取得了您的 PHP 源代码，将它转移到自己的服务器上，并向您的服务器提交信息，您的服务器接收的也只是空的或畸形的会话令牌和原来提供的表单令牌。它们不匹配，远程表单提交就失败了。

上1页 1 2 3 4 5 6 7 http://www.fw8.net/

TAG:用户,数据,字符串,表单,变量

评论加载中... 内容： 评论者： 验证码：