在提及安全性問(wèn)題時(shí)，需要注意，除了實(shí)際的平臺(tái)和操作系統(tǒng)安全性問(wèn)題之外，您還需要確保編寫安全的應(yīng)用程序。在編寫 PHP 應(yīng)用程序時(shí)，請(qǐng)應(yīng)用下面的七個(gè)習(xí)慣以確保應(yīng)用程序具有最好的安全性：
•驗(yàn)證輸入
•保護(hù)文件系統(tǒng)
•保護(hù)數(shù)據(jù)庫(kù)
•保護(hù)會(huì)話數(shù)據(jù)
•保護(hù)跨站點(diǎn)腳本（Cross-site scripting，XSS）漏洞
•檢驗(yàn)表單 post
•針對(duì)跨站點(diǎn)請(qǐng)求偽造（Cross-Site Request Forgeries，CSRF）進(jìn)行保護(hù)

驗(yàn)證輸入
在提及安全性問(wèn)題時(shí)，驗(yàn)證數(shù)據(jù)是您可能采用的最重要的習(xí)慣。而在提及輸入時(shí)，十分簡(jiǎn)單：不要相信用戶。您的用戶可能十分優(yōu)秀，并且大多數(shù)用戶可能完全按照期望來(lái)使用應(yīng)用程序。但是，只要提供了輸入的機(jī)會(huì)，也就極有可能存在非常糟糕的輸入。作為一名應(yīng)用程序開(kāi)發(fā)人員，您必須阻止應(yīng)用程序接受錯(cuò)誤的輸入。仔細(xì)考慮用戶輸入的位置及正確值將使您可以構(gòu)建一個(gè)健壯、安全的應(yīng)用程序。
雖然后文將介紹文件系統(tǒng)與數(shù)據(jù)庫(kù)交互，但是下面列出了適用于各種驗(yàn)證的一般驗(yàn)證提示：
•使用白名單中的值
•始終重新驗(yàn)證有限的選項(xiàng)
•使用內(nèi)置轉(zhuǎn)義函數(shù)
•驗(yàn)證正確的數(shù)據(jù)類型（如數(shù)字）
白名單中的值（White-listed value）是正確的值，與無(wú)效的黑名單值（Black-listed value）相對(duì)。兩者之間的區(qū)別是，通常在進(jìn)行驗(yàn)證時(shí)，可能值的列表或范圍小于無(wú)效值的列表或范圍，其中許多值可能是未知值或意外值。
在進(jìn)行驗(yàn)證時(shí)，記住設(shè)計(jì)并驗(yàn)證應(yīng)用程序允許使用的值通常比防止所有未知值更容易。例如，要把字段值限定為所有數(shù)字，需要編寫一個(gè)確保輸入全都是數(shù)字的例程。不要編寫用于搜索非數(shù)字值并在找到非數(shù)字值時(shí)標(biāo)記為無(wú)效的例程。

保護(hù)文件系統(tǒng)
2000 年 7 月，一個(gè) Web 站點(diǎn)泄露了保存在 Web 服務(wù)器的文件中的客戶數(shù)據(jù)。該 Web 站點(diǎn)的一個(gè)訪問(wèn)者使用 URL 查看了包含數(shù)據(jù)的文件。雖然文件被放錯(cuò)了位置，但是這個(gè)例子強(qiáng)調(diào)了針對(duì)攻擊者保護(hù)文件系統(tǒng)的重要性。
如果 PHP 應(yīng)用程序?qū)ξ募M(jìn)行了任意處理并且含有用戶可以輸入的變量數(shù)據(jù)，請(qǐng)仔細(xì)檢查用戶輸入以確保用戶無(wú)法對(duì)文件系統(tǒng)執(zhí)行任何不恰當(dāng)?shù)牟僮?。清?1 顯示了下載具有指定名的圖像的 PHP 站點(diǎn)示例。
清單 1. 下載文件

正如您所見(jiàn)，清單 1 中比較危險(xiǎn)的腳本將處理 Web 服務(wù)器擁有讀取權(quán)限的所有文件，包括會(huì)話目錄中的文件（請(qǐng)參閱 “保護(hù)會(huì)話數(shù)據(jù)”），甚至還包括一些系統(tǒng)文件（例如 /etc/passwd）。為了進(jìn)行演示，這個(gè)示例使用了一個(gè)可供用戶鍵入文件名的文本框，但是可以在查詢字符串中輕松地提供文件名。
同時(shí)配置用戶輸入和文件系統(tǒng)訪問(wèn)權(quán)十分危險(xiǎn)，因此最好把應(yīng)用程序設(shè)計(jì)為使用數(shù)據(jù)庫(kù)和隱藏生成的文件名來(lái)避免同時(shí)配置。但是，這樣做并不總是有效。清單 2 提供了驗(yàn)證文件名的示例例程。它將使用正則表達(dá)式以確保文件名中僅使用有效字符，并且特別檢查圓點(diǎn)字符：..。
清單 2. 檢查有效的文件名字符

保護(hù)數(shù)據(jù)庫(kù)
2008 年 4 月，美國(guó)某個(gè)州的獄政局在查詢字符串中使用了 SQL 列名，因此泄露了保密數(shù)據(jù)。這次泄露允許惡意用戶選擇需要顯示的列、提交頁(yè)面并獲得數(shù)據(jù)。這次泄露顯示了用戶如何能夠以應(yīng)用程序開(kāi)發(fā)人員無(wú)法預(yù)料的方法執(zhí)行輸入，并表明了防御 SQL 注入攻擊的必要性。
清單 3 顯示了運(yùn)行 SQL 語(yǔ)句的示例腳本。在本例中，SQL 語(yǔ)句是允許相同攻擊的動(dòng)態(tài)語(yǔ)句。此表單的所有者可能認(rèn)為表單是安全的，因?yàn)樗麄円呀?jīng)把列名限定為選擇列表。但是，代碼疏忽了關(guān)于表單欺騙的最后一個(gè)習(xí)慣 — 代碼將選項(xiàng)限定為下拉框并不意味著其他人不能夠發(fā)布含有所需內(nèi)容的表單（包括星號(hào) [*]）。
清單 3. 執(zhí)行 SQL 語(yǔ)句

因此，要形成保護(hù)數(shù)據(jù)庫(kù)的習(xí)慣，請(qǐng)盡可能避免使用動(dòng)態(tài) SQL 代碼。如果無(wú)法避免動(dòng)態(tài) SQL 代碼，請(qǐng)不要對(duì)列直接使用輸入。清單 4 顯示了除使用靜態(tài)列外，還可以向帳戶編號(hào)字段添加簡(jiǎn)單驗(yàn)證例程以確保輸入值不是非數(shù)字值。
清單 4. 通過(guò)驗(yàn)證和 mysql_real_escape_string() 提供保護(hù)

本例還展示了 mysql_real_escape_string() 函數(shù)的用法。此函數(shù)將正確地過(guò)濾您的輸入，因此它不包括無(wú)效字符。如果您一直依賴于 magic_quotes_gpc，那么需要注意它已被棄用并且將在 PHP V6 中刪除。從現(xiàn)在開(kāi)始應(yīng)避免使用它并在此情況下編寫安全的 PHP 應(yīng)用程序。此外，如果使用的是 ISP，則有可能您的 ISP 沒(méi)有啟用 magic_quotes_gpc。
最后，在改進(jìn)的示例中，您可以看到該 SQL 語(yǔ)句和輸出沒(méi)有包括動(dòng)態(tài)列選項(xiàng)。使用這種方法，如果把列添加到稍后含有不同信息的表中，則可以輸出這些列。如果要使用框架以與數(shù)據(jù)庫(kù)結(jié)合使用，則您的框架可能已經(jīng)為您執(zhí)行了 SQL 驗(yàn)證。確保查閱文檔以保證框架的安全性；如果仍然不確定，請(qǐng)進(jìn)行驗(yàn)證以確保穩(wěn)妥。即使使用框架進(jìn)行數(shù)據(jù)庫(kù)交互，仍然需要執(zhí)行其他驗(yàn)證。

保護(hù)會(huì)話
默認(rèn)情況下，PHP 中的會(huì)話信息將被寫入臨時(shí)目錄?？紤]清單 5 中的表單，該表單將顯示如何存儲(chǔ)會(huì)話中的用戶 ID 和帳戶編號(hào)。
清單 5. 存儲(chǔ)會(huì)話中的數(shù)據(jù)

清單 6 顯示了 /tmp 目錄的內(nèi)容。
清單 6. /tmp 目錄中的會(huì)話文件

正如您所見(jiàn)，在輸出時(shí)（參見(jiàn)清單 7），會(huì)話文件以非常易讀的格式包含信息。由于該文件必須可由 Web 服務(wù)器用戶讀寫，因此會(huì)話文件可能為共享服務(wù)器中的所有用戶帶來(lái)嚴(yán)重的問(wèn)題。除您之外的某個(gè)人可以編寫腳本來(lái)讀取這些文件，因此可以嘗試從會(huì)話中取出值。
清單 7. 會(huì)話文件的內(nèi)容

存儲(chǔ)密碼
不管是在數(shù)據(jù)庫(kù)、會(huì)話、文件系統(tǒng)中，還是在任何其他表單中，無(wú)論如何密碼都決不能存儲(chǔ)為純文本。處理密碼的最佳方法是將其加密存儲(chǔ)并相互比較加密的密碼。雖然如此，在實(shí)踐中人們?nèi)匀话衙艽a存儲(chǔ)到純文本中。只要使用可以發(fā)送密碼而非重置密碼的 Web 站點(diǎn)，就意味著密碼是存儲(chǔ)在純文本中或者可以獲得用于解密的代碼（如果加密的話）。即使是后者，也可以找到并使用解密代碼。
您可以采取兩項(xiàng)操作來(lái)保護(hù)會(huì)話數(shù)據(jù)。第一是把您放入會(huì)話中的所有內(nèi)容加密。但是正因?yàn)榧用軘?shù)據(jù)并不意味著絕對(duì)安全，因此請(qǐng)慎重采用這種方法作為保護(hù)會(huì)話的惟一方式。備選方法是把會(huì)話數(shù)據(jù)存儲(chǔ)在其他位置中，比方說(shuō)數(shù)據(jù)庫(kù)。您仍然必須確保鎖定數(shù)據(jù)庫(kù)，但是這種方法將解決兩個(gè)問(wèn)題：第一，它將把數(shù)據(jù)放到比共享文件系統(tǒng)更加安全的位置；第二，它將使您的應(yīng)用程序可以更輕松地跨越多個(gè) Web 服務(wù)器，同時(shí)共享會(huì)話可以跨越多個(gè)主機(jī)。

要實(shí)現(xiàn)自己的會(huì)話持久性，請(qǐng)參閱 PHP 中的session_set_save_handler() 函數(shù)。使用它，您可以將會(huì)話信息存儲(chǔ)在數(shù)據(jù)庫(kù)中，也可以實(shí)現(xiàn)一個(gè)用于加密和解密所有數(shù)據(jù)的處理程序。清單 8 提供了實(shí)現(xiàn)的函數(shù)用法和函數(shù)骨架示例。您還可以在 參考資料 小節(jié)中查看如何使用數(shù)據(jù)庫(kù)。
清單 8. session_set_save_handler() 函數(shù)示例

針對(duì) XSS 漏洞進(jìn)行保護(hù)
XSS 漏洞代表 2007 年所有歸檔的 Web 站點(diǎn)的大部分漏洞（請(qǐng)參閱 參考資料）。當(dāng)用戶能夠把 HTML 代碼注入到您的 Web 頁(yè)面中時(shí)，就是出現(xiàn)了 XSS 漏洞。HTML 代碼可以在腳本標(biāo)記中攜帶 JavaScript 代碼，因而只要提取頁(yè)面就允許運(yùn)行 JavaScript。清單 9 中的表單可以表示論壇、維基、社會(huì)網(wǎng)絡(luò)或任何可以輸入文本的其他站點(diǎn)。
清單 9. 輸入文本的表單

清單 10 演示了允許 XSS 攻擊的表單如何輸出結(jié)果。
清單 10. showResults.php

清單 11 提供了一個(gè)基本示例，在該示例中將彈出一個(gè)新窗口并打開(kāi) Google 的主頁(yè)。如果您的 Web 應(yīng)用程序不針對(duì) XSS 攻擊進(jìn)行保護(hù)，則會(huì)造成嚴(yán)重的破壞。例如，某個(gè)人可以添加模仿站點(diǎn)樣式的鏈接以達(dá)到欺騙（phishing）目的（請(qǐng)參閱 參考資料）。
清單 11. 惡意輸入文本樣例

要防止受到 XSS 攻擊，只要變量的值將被打印到輸出中，就需要通過(guò) htmlentities() 函數(shù)過(guò)濾輸入。記住要遵循第一個(gè)習(xí)慣：在 Web 應(yīng)用程序的名稱、電子郵件地址、電話號(hào)碼和帳單信息的輸入中用白名單中的值驗(yàn)證輸入數(shù)據(jù)。
下面顯示了更安全的顯示文本輸入的頁(yè)面。
清單 12. 更安全的表單

針對(duì)無(wú)效 post 進(jìn)行保護(hù)
表單欺騙 是指有人把 post 從某個(gè)不恰當(dāng)?shù)奈恢冒l(fā)到您的表單中。欺騙表單的最簡(jiǎn)單方法就是創(chuàng)建一個(gè)通過(guò)提交至表單來(lái)傳遞所有值的 Web 頁(yè)面。由于 Web 應(yīng)用程序是沒(méi)有狀態(tài)的，因此沒(méi)有一種絕對(duì)可行的方法可以確保所發(fā)布數(shù)據(jù)來(lái)自指定位置。從 IP 地址到主機(jī)名，所有內(nèi)容都是可以欺騙的。清單 13 顯示了允許輸入信息的典型表單。
清單 13. 處理文本的表單

清單 14 顯示了將發(fā)布到清單 13 所示表單中的表單。要嘗試此操作，您可以把該表單放到 Web 站點(diǎn)中，然后把清單 14 中的代碼另存為桌面上的 HTML 文檔。在保存表單后，在瀏覽器中打開(kāi)該表單。然后可以填寫數(shù)據(jù)并提交表單，從而觀察如何處理數(shù)據(jù)。
清單 14. 收集數(shù)據(jù)的表單

表單欺騙的潛在影響是，如果擁有含下拉框、單選按鈕、復(fù)選框或其他限制輸入的表單，則當(dāng)表單被欺騙時(shí)這些限制沒(méi)有任何意義。考慮清單 15 中的代碼，其中包含帶有無(wú)效數(shù)據(jù)的表單。
清單 15. 帶有無(wú)效數(shù)據(jù)的表單

思考一下：如果擁有限制用戶輸入量的下拉框或單選按鈕，您可能會(huì)認(rèn)為不用擔(dān)心驗(yàn)證輸入的問(wèn)題。畢竟，輸入表單將確保用戶只能輸入某些數(shù)據(jù)，對(duì)吧？要限制表單欺騙，需要進(jìn)行驗(yàn)證以確保發(fā)布者的身份是真實(shí)的。您可以使用一種一次性使用標(biāo)記，雖然這種技術(shù)仍然不能確保表單絕對(duì)安全，但是會(huì)使表單欺騙更加困難。由于在每次調(diào)用表單時(shí)都會(huì)更改標(biāo)記，因此想要成為攻擊者就必須獲得發(fā)送表單的實(shí)例，去掉標(biāo)記，并把它放到假表單中。使用這項(xiàng)技術(shù)可以阻止惡意用戶構(gòu)建持久的 Web 表單來(lái)向應(yīng)用程序發(fā)布不適當(dāng)?shù)恼?qǐng)求。清單 16 提供了一種表單標(biāo)記示例。
清單 16. 使用一次性表單標(biāo)記

針對(duì) CSRF 進(jìn)行保護(hù)
跨站點(diǎn)請(qǐng)求偽造（CSRF 攻擊）是利用用戶權(quán)限執(zhí)行攻擊的結(jié)果。在 CSRF 攻擊中，您的用戶可以輕易地成為預(yù)料不到的幫兇。清單 17 提供了執(zhí)行特定操作的頁(yè)面示例。此頁(yè)面將從 cookie 中查找用戶登錄信息。只要 cookie 有效，Web 頁(yè)面就會(huì)處理請(qǐng)求。
清單 17. CSRF 示例

CSRF 攻擊通常是以 <img> 標(biāo)記的形式出現(xiàn)的，因?yàn)闉g覽器將在不知情的情況下調(diào)用該 URL 以獲得圖像。但是，圖像來(lái)源可以是根據(jù)傳入?yún)?shù)進(jìn)行處理的同一個(gè)站點(diǎn)中的頁(yè)面 URL。當(dāng)此 <img> 標(biāo)記與 XSS 攻擊結(jié)合在一起時(shí) — 在已歸檔的攻擊中最常見(jiàn) — 用戶可以在不知情的情況下輕松地對(duì)其憑證執(zhí)行一些操作 — 因此是偽造的。
為了保護(hù)您免受 CSRF 攻擊，需要使用在檢驗(yàn)表單 post 時(shí)使用的一次性標(biāo)記方法。此外，使用顯式的 $_POST 變量而非 $_REQUEST。清單 18 演示了處理相同 Web 頁(yè)面的糟糕示例 — 無(wú)論是通過(guò) GET 請(qǐng)求調(diào)用頁(yè)面還是通過(guò)把表單發(fā)布到頁(yè)面中。
清單 18. 從 $_REQUEST 中獲得數(shù)據(jù)

清單 19 顯示了只使用表單 POST 的干凈頁(yè)面。
清單 19. 僅從 $_POST 中獲得數(shù)據(jù)

結(jié)束語(yǔ)
從這七個(gè)習(xí)慣開(kāi)始嘗試編寫更安全的 PHP Web 應(yīng)用程序，可以幫助您避免成為惡意攻擊的受害者。和許多其他習(xí)慣一樣，這些習(xí)慣最開(kāi)始可能很難適應(yīng)，但是隨著時(shí)間的推移遵循這些習(xí)慣會(huì)變得越來(lái)越自然。
記住第一個(gè)習(xí)慣是關(guān)鍵：驗(yàn)證輸入。在確保輸入不包括無(wú)效值之后，可以繼續(xù)保護(hù)文件系統(tǒng)、數(shù)據(jù)庫(kù)和會(huì)話。最后，確保 PHP 代碼可以抵抗 XSS 攻擊、表單欺騙和 CSRF 攻擊。形成這些習(xí)慣后可以幫助您抵御一些簡(jiǎn)單的攻擊。

最新評(píng)論