在在指南的開始,我們說過數據過濾在任何語言、任何平台上都是WEB應用安全的基石。這包含檢驗輸入到應用的數據以及從應用輸出的數據,而一個好的軟件設計可以幫助開發人員做到:
確保PHP數據過濾無法被繞過,確保不合法的信息不會影響合法的信息,並且識別數據的來源。
關於如何確保數據過濾無法被繞過有各種各樣的觀點,而其中的兩種觀點比其他更加通用並可提供更高級別的保障。
PHP數據過濾調度方法
這種方法是用一個單一的PHP腳本調度(通過 URL)。其他任何操作在必要的時候使用include或require包含進來。這種方法一般需要每個 URL 都傳遞一個單獨的GET變量用於調度。這個GET變量可以被認為是用來替代腳本名稱的更加簡化的設計。例如:
http://example.org/dispatch.php?task=print_formdispatch.php是唯一的根文件(Document root)。它可以讓開發者做兩件非常重要的事情:
在dispatch.php最開始實現一些全局的安全處理,並且確保這些處理不可以被繞過。容易確定在必要的地方進行數據過濾,特別是一些特殊目的的控制流操作中。看下面的例子以便進一步討論dispatch.php腳本:
- < ?php
- /* 全局安全處理 */
- switch ($_GET['task']){case
'print_form':include '/inc/
presentation/form.inc';- break;
- case 'process_form':$form_valid = false;
- include '/inc/logic/process.inc';
- if ($form_valid){include '/inc/
presentation/end.inc';}else{include
'/inc/presentation/form.inc';}
break;default:include '/inc/presentation
/index.inc';- break;
- }
- ?>
如果這是唯一的可公開訪問到的 PHP 腳本,則可以確信的一點是這個程序的設計可以確保在最開始的全局安全處理無法被繞過。同時也讓開發者容易看到特定任務的控制流程。例如,不需要浏覽整個代碼就可以容易的知道:當$form_valid為true時,end.inc是唯一顯示給用戶的;由於它在process.inc被包含之前,並剛剛初始化為false,可以確定的是process.inc的內部邏輯會將設置它為true;否則表單將再次顯示(可能會顯示相關的錯誤信息)。
PHP數據過濾要注意的問題
如果你使用目錄定向文件,如index.php(代替dispatch.php),你可以像這樣使用 URL 地址:http://example.org/?task=print_form。
你還可以使用ApacheForceType重定向或者mod_rewrite來調整 URL 地址:http://example.org/app/print-form。
PHP數據過濾的包含方法
另外一種方式是使用單獨一個模塊,這個模塊負責所有的安全處理。這個模塊被包含在所有公開的 PHP 腳本的最前端(或者非常靠前的部分)。參考下面的腳本security.inc
- < ?php
- switch ($_POST['form'])
- {case 'login':
- $allowed = array();
- $allowed[] = 'form';
- $allowed[] = 'username';
- $allowed[] = 'password';
- $sent = array_keys($_POST);
- if ($allowed == $sent)
- {include '/inc/logic/
process.inc';}- break;
- }
- ?>
在這個PHP數據過濾例中,每個提交過來的表單都認為應當含有form這個唯一驗證值,並且security.inc獨立處理表單中0需要過濾的數據。實現這個要求的HTML表單如下所示:
- < form. action="/receive.php"
method="POST">- <input type="hidden"
name="form" value="login" />- < p>Username:
- <input type="text" name="username" />
- < /p>
- < p>Password:<input
type="password" name="password" />- < /p>
- < input type="submit" />
- < /form>
叫做$allowed的數組用來檢驗哪個表單變量是允許的, 這個列表在表單被處理前應當是一致的。流程控制決定要執行什麼,而process.inc是真正過濾後的數據到達的地方。
注意
確保security.inc總是被包含在每個腳本的最開始的位置比較好的方法是使用auto_prepend_file設置。
PHP數據過濾的例子
建立白名單對於PHP數據過濾是非常重要的。由於不可能對每一種可能遇到的表單數據都給出例子,部分例子可以幫助你對此有一個大體的了解。
下面的代碼對郵件地址進行了驗證:
- < ?php
- $clean = array();
- $email_pattern = '
/^[^@s<&>]+@([-a-z0-9]+.)
+[a-z]{2,}$/i';- if (preg_match($email_
pattern, $_POST['email']))- {$clean['email'] = $_POST
['email'];}- ?>
下面的PHP數據過濾代碼確保了$_POST['color']的內容是red,green,或者blue:
- < ?php
- $clean = array();
- switch ($_POST['color'])
{case 'red':case 'green':case
'blue':$clean['color'] =
$_POST['color'];- break;
- }
- ?>
下面的PHP數據過濾代碼確保$_POST['num']是一個整數(integer):
- < ?php
- $clean = array();
- if ($_POST['num'] ==
strval(intval($_
POST['num']))){$clean
['num'] = $_POST['num'];- }
- ?>
下面的PHP數據過濾代碼確保$_POST['num']是一個浮點數(float):
- < ?php
- $clean = array();
- if ($_POST['num'] ==
strval(floatval($_POST
['num']))){$clean['num']
= $_POST['num'];- }
- ?>
PHP數據過濾的名字轉換
之前每個例子都使用了數組$clean。對於開發人員判斷數據是否有潛在的威脅這是一個很好的習慣。 永遠不要在對數據驗證後還將其保存在$_POST或者$_GET中,作為開發人員對超級全局數組中保存的數據總是應當保持充分的懷疑。
需要補充的是,使用$clean可以幫助思考還有什麼沒有被過濾,這更類似一個白名單的作用。可以提升安全的等級。
如果僅僅將驗證過的數據保存在$clean,在數據驗證上僅存的風險是你所引用的數組元素不存在,而不是未過濾的危險數據。
PHP數據過濾的時機
一旦 PHP 腳本開始執行,則意味著 HTTP 請求已經全部結束。此時,用戶便沒有機會向腳本發送數據。因此,沒有數據可以被輸入到腳本中(甚至register_globals被開啟的情況下)。這就是為什麼初始化變量是非常好的習慣。
