PHP開發絕對不能違背的安全鐵則（摘）

php開發絕對不能違背的安全鐵則

2 (摘自

6789

作為php程式設計師，特別是新手，對於網際網路的險惡總是知道的太少，對於外部的入侵有很多時候是素手無策的，他們根本不知道黑客是如何入侵的、提交入侵、上傳漏洞、sql 注入、跨指令碼攻擊等等。作為最基本的防範你需要注意你的外部提交，做好第一面安全機制處理防火牆。

1011 　　規則 1：絕不要信任外部資料或輸入

1213

關於web應用程式安全性，必須認識到的第一件事是不應該信任外部資料。外部資料(outside data) 包括不是由程式設計師在php**中直接輸入的任何資料。在採取措施確保安全之前，來自任何其他**(比如 get 變數、表單 post、資料庫、配置檔案、會話變數或 cookie)的任何資料都是不可信任的。

1415

例如，下面的資料元素可以被認為是安全的，因為它們是在php中設定的。

16 清單 1.安全無暇的**

17$myusername =『tmyer』;

18$arrayarrayusers = array(『tmyer』, 『tom』,『tommy』);

19define(「greeting」, 『hello there』 . $myusername

);

20 ?>

2122

但是，下面的資料元素都是有瑕疵的。

23 清單 2.不安全、有瑕疵的**

24$myusername = $_post['username']; //

tainted!

25$arrayarrayusers = array($myusername, 『tom』, 『tommy』); //

tainted!

26define(「greeting」, 『hello there』 . $myusername); //

tainted!

27 ?>

2830

31 　　解決方案很簡單：必須對$_post['username'] 執行清理**。如果不這麼做，那麼在使用$myusername的任何其他時候

(比如在陣列或常量中)，就可能汙染這些物件。對使用者輸入進行清理的乙個簡單方法是，使用正規表示式來處理它。在這個示例中，只希望接受字母。將字串限制為特定數量的字元，或者要求所有字母都是小寫的，這可能也是個好主意。

32 清單 3.使使用者輸入變得安全

33$myusername = cleaninput($_post['username']); //

clean!

34$arrayarrayusers = array($myusername, 『tom』, 『tommy』); //

clean!

35define(「greeting」, 『hello there』 . $myusername); //

clean!

36function cleaninput($input)

40 ?>

4142 　　規則 2：禁用那些使安全性難以實施的php設定

4344 　　已經知道了不能信任使用者輸入，還應該知道不應該信任機器上配置 php 的方式。例如，要確保禁用 register_globals。如果啟用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替換同名的 get 或 post 字串。通過禁用這個設定，php 強迫您在正確的命名空間中引用正確的變數。要使用來自表單 post 的變數，應該引用 $_post['variable']。這樣就不會將這個特定變數誤會成 cookie、會話或 get 變數。

4546 　　規則 3：如果不能理解它，就不能保護它

4748 　　一些開發人員使用奇怪的語法，或者將語句組織得很緊湊，形成簡短但是含義模糊的**。這種方式可能效率高，但是如果您不理解**正在做什麼，那麼就無法決定如何保護它。例如，您喜歡下面兩段**中的哪一段?

49 清單 4.使**容易得到保護

50//

obfuscated code

51$input = (isset($_post['username']) ? $_post['username']:」);

52//

unobfuscated code

53$input =」;

54if (isset($_post['username']))else 59

60 　　在第二個比較清晰的**段中，很容易看出 $input

是有瑕疵的，需要進行清理，然後才能安全地處理。

6162 　　規則 4：「縱深防禦」是新的法寶

6364

6566

◆防止sql注入攻擊

6768

在sql注入攻擊中，使用者通過操縱表單或 get 查詢字串，將資訊新增到資料庫查詢中。例如，假設有乙個簡單的登入資料庫。這個資料庫中的每個記錄都有乙個使用者名字段和乙個密碼字段。構建乙個登入表單，讓使用者能夠登入。

697073

7481 82

8384 　　這個表單接受使用者輸入的使用者名稱和密碼，並將使用者輸入提交給名為verify.php的檔案。在這個檔案中，php處理來自登入表單的資料，如下所示：

85 清單 5.不安全的 php 表單處理**

86<?php

87$okay = 0;

88$username = $_post['user'];

89$pw = $_post['pw'];

90$sql = 「select count(*) as ctr from users where username=』

91 」.$username.」『 and password=』」. $pw.」『 limit 1″;

92$result = mysql_query($sql

);

93while ($data = mysql_fetch_object($result

))

98}

99if ($okay

)else

105 ?>

106107 　　這段**看起來沒問題，對嗎?世界各地成百(甚至成千)的 php/mysql 站點都在使用這樣的**。它錯在**?好，記住「不能信任使用者輸入」。這裡沒有對來自使用者的任何資訊進行轉義，因此使應用程式容易受到攻擊。具體來說，可能會出現任何型別的sql注入攻擊。例如，如果使用者輸入 foo 作為使用者名稱，輸入『 or 』1′=』1 作為密碼，那麼實際上會將以下字串傳遞給 php，然後將查詢傳遞給 mysql

：108

<?php

109$sql = 「select count(*) as ctr from users where username=

110 』foo』 and password=」 or 』1′=』1′ limit 1″;

111 ?>

112113 　　這個查詢總是返回計數值 1，因此 php 會允許進行訪問。通過在密碼字串的末尾注入某些惡意 sql，黑客就能裝扮成合法的使用者。解決這個問題的辦法是，將 php 的內建 mysql_real_escape_string() 函式用作任何使用者輸入的包裝器。這個函式對字串中的字元進行轉義，使字串不可能傳遞撇號等特殊字元並讓 mysql

根據特殊字元進行操作。清單7展示了帶轉義處理的**。

114清單7展示了帶轉義處理的**

115<?php

116$okay = 0;

117$username = $_post['user'];

118$pw = $_post['pw'];

119$sql = "select count(*) as ctr from users where username='".mysql_real_

120 _string($username)."' and password='". mysql_real_escape_string($pw)."'

121 limit 1";

122$result = mysql_query($sql

);

123while ($data = mysql_fetch_object($result

))

128}

129if ($okay

) 133

else

136 ?>

137138 　　使用 mysql_real_escape_string

() 作為使用者輸入的包裝器，就可以避免使用者輸入中的任何惡意 sql 注入。如果使用者嘗試通過 sql 注入傳遞畸形的密碼，那麼會將以下查詢傳遞給資料庫：

139 select count(*) as ctr from users where username=』foo』 and password=

140 』\』 or \』1\』=\』1′ limit 1″

141 摘自

PHP開發絕對不能違背的安全鐵則（摘）

PHP開發絕對不能違背的安全鐵則

PHP開發絕對不能違背的安全鐵則

PHP開發絕對不能違背的安全鐵則

相關推薦