返回首頁
當前位置: 主頁 > 網絡編程 > Php實例教程 >

PHP開發安全淺談

時間:2015-01-23 19:58來源:知行網www.wzliqi.com 編輯:麥田守望者

==過濾輸入/輸出轉義

過濾是Web應用安全的基礎。它是你驗證數據合法性的過程。通過在輸入時確認對所有的數據進行過濾,你可以避免被污染(未過濾)數據在你的程序中被誤信及誤用。大多數流行的PHP應用的漏洞最終都是因為沒有對輸入進行恰當過濾造成的。
有很多種方法過濾數據,其中有一些安全性較高。最好的方法是把過濾看成是一個檢查的過程。請不要試圖好心地去糾正非法數據,要讓你的用戶按你的規則去做,歷史證明了試圖糾正非法數據往往會導致安全漏洞。
另外一個Web應用安全的基礎是對輸出進行轉義或對特殊字符進行編碼,以保證原意不變。例如,O’Reilly在傳送給MySQL數據庫前需要轉義成O\’Reilly。單引號前的反斜杠代表單引號是數據本身的一部分,而不是并不是它的本義。

象過濾一樣,轉義過程在依情形的不同而不同。過濾對于不同類型的數據處理方法也是不同的,轉義也是根據你傳輸信息到不同的系統而采用不同的方法。
為了區分數據是否已轉義,還是建議定義一個命名機制。對于輸出到客戶機的轉義數據,使$html數組進行存儲,該數據首先初始化成一個空數組,對所有已過濾和已轉義數據進行保存。

<?php
     $html = array(     );
     $html['username'] = htmlentities($clean['username'], ENT_QUOTES, 'UTF-8');
     echo "<p>Welcome, {$html['username']}.</p>";
?>
htmlspecialchars( )函數與htmlentities( )函數基本相同,它們的參數定義完全相同,只不過是htmlentities( )的轉義更為徹底。
通過$html['username']把username輸出到客戶端,你就可以確保其中的特殊字符不會被瀏覽器所錯誤解釋。如果username只包含字母和數字的話,實際上轉義是沒有必要的,但是這體現了深度防范的原則。轉義任何的輸出是一個非常好的習慣,它可以戲劇性地提高你的軟件的安全性。
另外一個常見的輸出目標是數據庫。如果可能的話,你需要對SQL語句中的數據使用PHP內建函數進行轉義。對于MySQL用戶,最好的轉義函數是 mysql_real_escape_string( )。如果你使用的數據庫沒有PHP內建轉義函數可用的話,addslashes( )是最后的選擇。

==語義URL攻擊

例如,如果用戶a點擊了一個鏈接并到達了頁面http://abc.net/pr.php?user=a, 很自然地可能會試圖改變user的值,看看會發生什么。
如果使用session跟蹤,可以很方便地避免上述情況的發生:

<?php
     session_start();
     $clean = array();
     $email_pa = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';
     if (preg_match($email_pa, $_POST['email']))
     {
     $clean['email'] = $_POST['email'];
     $user = $_SESSION['user'];
     $new_password = md5(uniqid(rand(), TRUE));
     if ($_SESSION['verified'])
     {
         /* Update Password */
         mail($clean['email'], 'Your New Pass', $new_password);
     }
     }
?>
正是這種不信任的做法是防止你的應用產生漏洞的關鍵。

==文件上傳攻擊

有時在除了標準的表單數據外,你還需要讓用戶進行文件上傳。由于文件在表單中傳送時與其它的表單數據不同,你必須指定一個特別的編碼方式multipart/form-data:

<form action="./upload.php" method="POST" enctype="multipart/form-data">
一個同時有普通表單數據和文件的表單是一個特殊的格式,而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。
允許用戶進行選擇文件并上傳的表單元素是很簡單的:

<input type="file" name="attachment" />
該元素在各種瀏覽器中的外觀表現形式各有不同。傳統上,界面上包括一個標準的文本框及一個瀏覽按鈕,以使用戶能直接手工錄入文件的路徑或通過瀏覽選擇。在Safari瀏覽器中只有瀏覽按鈕。幸運的是,它們的作用與行為是相同的。
為了更好地演示文件上傳機制,下面是一個允許用戶上傳附件的例子:

<form action="./upload.php" method="POST" enctype="multipart/form-data">
     <p>Please choose a file to upload:
     <input type="hidden" name="MAX_FILE_SIZE" value="1024" />
     <input type="file" name="attachment" /><br />
     <input type="submit" value="Upload Attachment" /></p>
< /form>
隱藏的表單變量MAX_FILE_SIZE告訴了瀏覽器最大允許上傳的文件大小。與很多客戶端限制相同,這一限制很容易被攻擊者繞開,但它可以為合法用戶提供向導。在服務器上進行該限制才是可靠的。
PHP的配置變量中,upload_max_filesize控制最大允許上傳的文件大小。同時post_max_size(POST表單的最大提交數據的大。┮材軡撛诘剡M行控制,因為文件是通過表單數據進行上傳的。
接收程序upload.php顯示了超級全局數組$_FILES的內容:

<?php
     header('Content-Type: text/plain');
     print_r($_FILES);
?>
為了理解上傳的過程,我們使用一個名為author.txt的文件進行測試,下面是它的內容:
user abc
http://abc.org/[/php]
當你上傳該文件到upload.php程序時,你可以在瀏覽器中看到類似下面的輸出:

[php]Array
     (
         [attachment] => Array
             (
                     [name] => author.txt
                     [type] => text/plain
                     [tmp_name] => /tmp/phpShfltt
                     [error] => 0
                     [size] => 36
             )    
      )
雖然從上面可以看出PHP實際在超級全局數組$_FILES中提供的內容,但是它無法給出表單數據的原始信息。
由于PHP在文件系統的臨時文件區保存上傳的文件,所以通常進行的操作是把它移到其它地方進行保存及讀取到內存。如果你不對tmp_name作檢查以確保它是一個上傳的文件(而不是/etc/passwd之類的東西),存在一個理論上的風險。之所以叫理論上的風險,是因為沒有一種已知的攻擊手段允許攻擊者去修改tmp_name的值。但是,沒有攻擊手段并不意味著你不需要做一些簡單的安全措施。新的攻擊手段每天在出現,而簡單的一個步驟能保護你的系統。
PHP提供了兩個方便的函數以減輕這些理論上的風險:is_uploaded_file( ) and move_uploaded_file( )。如果你需要確保tmp_name中的文件是一個上傳的文件,你可以用
is_uploaded_file( ):

<?php
     $filename = $_FILES['attachment']['tmp_name'];
     if (is_uploaded_file($filename))
     {
     /* $_FILES['attachment']['tmp_name'] is an uploaded file. */
     }
     ?>
最后你可以用 filesize( ) 來校驗文件的大。

<?php
     $filename = $_FILES['attachment']['tmp_name'];      if (is_uploaded_file($filename))
     {
     $size = filesize($filename);
     }
?>
這些安全措施的目的是加上一層額外的安全保護層。最佳的方法是永遠盡可能少地去信任。而且所有的輸入都是有害的。

------分隔線----------------------------
標簽(Tag):php php教程 php實例教程 php5 php源代碼 php基礎教程 php技巧 php6
------分隔線----------------------------
推薦內容
猜你感興趣
久久99久久99精品免视看