快捷導(dǎo)航

PHP數(shù)據(jù)過濾的方法

更新時間：2013年10月30日 14:59:30 作者：

關(guān)于如何確保數(shù)據(jù)過濾無法被繞過有各種各樣的觀點，今天我們就來看看PHP的數(shù)據(jù)過濾，對你一定會有幫助的。

在指南的開始，我們說過數(shù)據(jù)過濾在任何語言、任何平臺上都是WEB應(yīng)用安全的基石。這包含檢驗輸入到應(yīng)用的數(shù)據(jù)以及從應(yīng)用輸出的數(shù)據(jù)，而一個好的軟件設(shè)計可以幫助開發(fā)人員做到：
確保數(shù)據(jù)過濾無法被繞過，
確保不合法的信息不會影響合法的信息，并且
識別數(shù)據(jù)的來源。
關(guān)于如何確保數(shù)據(jù)過濾無法被繞過有各種各樣的觀點，而其中的兩種觀點比其他更加通用并可提供更高級別的保障。
調(diào)度方法
這種方法是用一個單一的 php 腳本調(diào)度（通過 URL）。其他任何操作在必要的時候使用include或require包含進來。這種方法一般需要每個 URL 都傳遞一個單獨的GET變量用于調(diào)度。這個GET變量可以被認為是用來替代腳本名稱的更加簡化的設(shè)計。例如：
http://a.org/dispatch.php?task=PRint_formdispatch.php是唯一的根文件(Document root)。它可以讓開發(fā)者做兩件非常重要的事情：
在dispatch.php最開始實現(xiàn)一些全局的安全處理，并且確保這些處理不可以被繞過。
容易確定在必要的地方進行數(shù)據(jù)過濾，特別是一些特殊目的的控制流操作中。
看下面的例子以便進一步討論dispatch.php腳本:
<?php/* 全局安全處理 */switch ($_GET['task']){case 'print_form':include '/inc/presentation/form.inc';break;case 'process_form':$form_valid = false;include '/inc/logic/process.inc';if ($form_valid){include '/inc/presentation/end.inc';}else{include '/inc/presentation/form.inc';}break;default:include '/inc/presentation/index.inc';break;}?>如果這是唯一的可公開訪問到的 PHP 腳本，則可以確信的一點是這個程序的設(shè)計可以確保在最開始的全局安全處理無法被繞過。同時也讓開發(fā)者容易看到特定任務(wù)的控制流程。例如，不需要瀏覽整個代碼就可以容易的知道：當$form_valid為true時，end.inc是唯一顯示給用戶的；由于它在process.inc被包含之前，并剛剛初始化為false，可以確定的是process.inc的內(nèi)部邏輯會將設(shè)置它為true；否則表單將再次顯示（可能會顯示相關(guān)的錯誤信息）。
注意
如果你使用目錄定向文件，如index.php（代替dispatch.php），你可以像這樣使用 URL 地址：http://a.org/?task=print_form。
你還可以使用 ApacheForceType重定向或者mod_rewrite來調(diào)整 URL 地址：http://a.org/app/print-form。
包含方法
另外一種方式是使用單獨一個模塊，這個模塊負責所有的安全處理。這個模塊被包含在所有公開的 PHP 腳本的最前端（或者非?？壳暗牟糠郑⒖枷旅娴哪_本security.inc

復(fù)制代碼代碼如下:

<?phpswitch ($_POST['form']){case 'login':$allowed = array();$allowed[] = 'form';$allowed[] = 'username';$allowed[] = 'passWord';$sent = array_keys($_POST);if ($allowed == $sent){include '/inc/logic/process.inc';}break;}?>

在本例中，每個提交過來的表單都認為應(yīng)當含有form這個唯一驗證值，并且security.inc獨立處理表單中0需要過濾的數(shù)據(jù)。實現(xiàn)這個要求的 HTML 表單如下所示：

復(fù)制代碼代碼如下:

<form action="/receive.php" method="POST"><input type="hidden" name="form" value="login" /><p>Username:<input type="text" name="username" /></p><p>Password:<input type="password" name="password" /></p><input type="submit" /></form>

叫做$allowed的數(shù)組用來檢驗?zāi)膫€表單變量是允許的，這個列表在表單被處理前應(yīng)當是一致的。流程控制決定要執(zhí)行什么，而process.inc是真正過濾后的數(shù)據(jù)到達的地方。
注意
確保security.inc總是被包含在每個腳本的最開始的位置比較好的方法是使用auto_prepend_file設(shè)置。
過濾的例子
建立白名單對于數(shù)據(jù)過濾是非常重要的。由于不可能對每一種可能遇到的表單數(shù)據(jù)都給出例子，部分例子可以幫助你對此有一個大體的了解。
下面的代碼對郵件地址進行了驗證：

復(fù)制代碼代碼如下:

<?php$clean = array();$email_pattern = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';if (preg_match($email_pattern, $_POST['email'])){$clean['email'] = $_POST['email'];}?>

下面的代碼確保了$_POST['color']的內(nèi)容是red，green，或者blue：

復(fù)制代碼代碼如下:

[/co<?php$clean = array();switch ($_POST['color']){case 'red':case 'green':case 'blue':$clean['color'] = $_POST['color'];break;}?>de]
下面的代碼確保$_POST['num']是一個整數(shù)（integer）：
[code]
<?php$clean = array();if ($_POST['num'] == strval(intval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

下面的代碼確保$_POST['num']是一個浮點數(shù)（float）：

復(fù)制代碼代碼如下:

<?php$clean = array();if ($_POST['num'] == strval(floatval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

名字轉(zhuǎn)換
之前每個例子都使用了數(shù)組$clean。對于開發(fā)人員判斷數(shù)據(jù)是否有潛在的威脅這是一個很好的習慣。永遠不要在對數(shù)據(jù)驗證后還將其保存在$_POST或者$_GET中，作為開發(fā)人員對超級全局數(shù)組中保存的數(shù)據(jù)總是應(yīng)當保持充分的懷疑。
需要補充的是，使用$clean可以幫助思考還有什么沒有被過濾，這更類似一個白名單的作用。可以提升安全的等級。
如果僅僅將驗證過的數(shù)據(jù)保存在$clean，在數(shù)據(jù)驗證上僅存的風險是你所引用的數(shù)組元素不存在，而不是未過濾的危險數(shù)據(jù)。
時機
一旦 PHP 腳本開始執(zhí)行，則意味著 HTTP 請求已經(jīng)全部結(jié)束。此時，用戶便沒有機會向腳本發(fā)送數(shù)據(jù)。因此，沒有數(shù)據(jù)可以被輸入到腳本中（甚至register_globals被開啟的情況下）。這就是為什么初始化變量是非常好的習慣。

您可能感興趣的文章: