關於 Web 應用程序安全性,必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在 PHP 代碼中直接輸入的任何數據。在采取措施確保安全之前,來自任何其他來源(比如 GET 變量、表單 POST、數據庫、配置文件、會話變量或 cookie)的任何數據都是不可信任的。
例如,下面的數據元素可以被認為是安全的,因為它們是在 PHP 中設置的。
PHP安全防護清單 1. 安全無暇的代碼
- < ?php
- $myUsername = ‘tmyer’;
- $arrayarrayUsers = array
(’tmyer’, ‘tom’, ‘tommy’);- define(”GREETING”, ‘hello
there’ . $myUsername);- ?>
但是,下面的數據元素都是有瑕疵的。
PHP安全防護清單 2. 不安全、有瑕疵的代碼
- < ?php
- $myUsername = $_POST[’username’];
//tainted!- $arrayarrayUsers = array($my
Username, ‘tom’, ‘tommy’);
//tainted!- define(”GREETING”, ‘hello there’
. $myUsername); //tainted!- ?>
為 什麼第一個變量 $myUsername 是有瑕疵的?因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字符串,包括用來清除文件或運行以前上傳的文件的惡意命令。
您可能會問,“難道不能使用只接受字母 A-Z 的客戶端(Javascrīpt)表單檢驗腳本來避免這種危險嗎?”是的,這總是一個有好處的步驟,但是正如在後面會看到的,任何人都可以將任何表單下載 到自己的機器上,修改它,然後重新提交他們需要的任何內容。
解決方案很簡單:必須對 $_POST[’username’] 運行清理代碼。如果不這麼做,那麼在使用 $myUsername 的任何其他時候(比如在數組或常量中),就可能污染這些對象。
對用戶輸入進行清理的一個簡單方法是,使用正則表達式來處理它。在這個示例中,只希望接受字母。將字符串限制為特定數量的字符,或者要求所有字母都是小寫的,這可能也是個好主意。
PHP安全防護清單 3. 使用戶輸入變得安全
- < ?php
- $myUsername = cleanInput($_
POST[’username’]); //clean!- $arrayarrayUsers = array(
$myUsername, ‘tom’, ‘tommy’); //clean!- define(”GREETING”, ‘hello
there’ . $myUsername); //clean!- function cleanInput($input){
- $clean = strtolower($input);
- $clean = preg_replace(”/[^a-z]
/”, “”, $clean);- $clean = substr($clean,0,12);
- return $clean;
- }
- ?>
以上就是PHP安全防護的相關技巧講解。
