PHP開發(fā)安全問題的示例分析

149次閱讀

共計(jì) 4812 個(gè)字符，預(yù)計(jì)需要花費(fèi) 13 分鐘才能閱讀完成。

PHP 開發(fā)安全問題的示例分析，針對這個(gè)問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

對于互聯(lián)網(wǎng)應(yīng)用的開發(fā)，作為開發(fā)者必須時(shí)刻牢記安全觀念，并在開發(fā)的代碼中體現(xiàn)。PHP 腳本語言對安全問題并不太關(guān)心，特別是對大多數(shù)沒有經(jīng)驗(yàn)的開發(fā)者來說。每當(dāng)你做任何涉及到錢財(cái)事務(wù)等交易問題時(shí)，都要特別注意安全問題的考慮。

安全保護(hù)一般性要點(diǎn)

1、不相信表單

對于一般的 Javascript 前臺驗(yàn)證，由于無法得知用戶的行為，例如關(guān)閉了瀏覽器的 javascript 引擎，這樣通過 POST 惡意數(shù)據(jù)到服務(wù)器。需要在服務(wù)器端進(jìn)行驗(yàn)證，對每個(gè) php 腳本驗(yàn)證傳遞到的數(shù)據(jù)，防止 XSS 攻擊和 SQL 注入

2、不相信用戶

要假設(shè)你的網(wǎng)站接收的每一條數(shù)據(jù)都是存在惡意代碼的，存在隱藏的威脅，要對每一條數(shù)據(jù)都進(jìn)行清理

3、關(guān)閉全局變量

在 php.ini 文件中進(jìn)行以下配置：register_globals = Off

如果這個(gè)配置選項(xiàng)打開之后，會出現(xiàn)很大的安全隱患。例如有一個(gè) process.php 的腳本文件，會將接收到的數(shù)據(jù)插入到數(shù)據(jù)庫，接收用戶輸入數(shù)據(jù)的表單可能如下：

input name= username type= text size= 15 maxlength= 64

這樣，當(dāng)提交數(shù)據(jù)到 process.php 之后，php 會注冊一個(gè) $username 變量，將這個(gè)變量數(shù)據(jù)提交到 process.php，同時(shí)對于任何 POST 或 GET 請求參數(shù)，都會設(shè)置這樣的變量。如果不是顯示進(jìn)行初始化那么就會出現(xiàn)下面的問題：

?php// Define $authorized = true only if user is authenticatedif (authenticated_user()) { $authorized = true;}?

此處，假設(shè) authenticated_user 函數(shù)就是判斷 $authorized 變量的值，如果開啟了 register_globals 配置，那么任何用戶都可以發(fā)送一個(gè)請求，來設(shè)置 $authorized 變量的值為任意值從而就能繞過這個(gè)驗(yàn)證。

所有的這些提交數(shù)據(jù)都應(yīng)該通過 PHP 預(yù)定義內(nèi)置的全局?jǐn)?shù)組來獲取，包括 $_POST、$_GET、$_FILES、$_SERVER、$_REQUEST 等，其中 $_REQUEST 是一個(gè) $_GET/$_POST/$_COOKIE 三個(gè)數(shù)組的聯(lián)合變量，默認(rèn)的順序是 $_COOKIE、$_POST、$_GET。

推薦的安全配置選項(xiàng)

error_reporting 設(shè)置為 Off：不要暴露錯(cuò)誤信息給用戶，開發(fā)的時(shí)候可以設(shè)置為 ON
safe_mode 設(shè)置為 Off
register_globals 設(shè)置為 Off
將以下函數(shù)禁用：system、exec、passthru、shell_exec、proc_open、popen
open_basedir 設(shè)置為 /tmp，這樣可以讓 session 信息有存儲權(quán)限，同時(shí)設(shè)置單獨(dú)的網(wǎng)站根目錄
expose_php 設(shè)置為 Off
allow_url_fopen 設(shè)置為 Off
allow_url_include 設(shè)置為 Off

SQL 注入攻擊

對于操作數(shù)據(jù)庫的 SQL 語句，需要特別注意安全性，因?yàn)橛脩艨赡茌斎胩囟ㄕZ句使得原有的 SQL 語句改變了功能。類似下面的例子：

$sql = select * from pinfo where product = $product

此時(shí)如果用戶輸入的 $product 參數(shù)為：

39 DROP pinfo; SELECT FOO

那么最終 SQL 語句就變成了如下的樣子：

select product from pinfo where product = 39 DROP pinfo; SELECT FOO

這樣就會變成三條 SQL 語句，會造成 pinfo 表被刪除，這樣會造成嚴(yán)重的后果。

這個(gè)問題可以簡單的使用 PHP 的內(nèi)置函數(shù)解決：

$sql = Select * from pinfo where product = . mysql_real_escape_string($product) .

防止 SQL 注入攻擊需要做好兩件事：

對輸入的參數(shù)總是進(jìn)行類型驗(yàn)證

對單引號、雙引號、反引號等特殊字符總是使用 mysql_real_escape_string 函數(shù)進(jìn)行轉(zhuǎn)義

但是，這里根據(jù)開發(fā)經(jīng)驗(yàn)，不要開啟 php 的 Magic Quotes，這個(gè)特性在 php6 中已經(jīng)廢除，總是自己在需要的時(shí)候進(jìn)行轉(zhuǎn)義。

防止基本的 XSS 攻擊

XSS 攻擊不像其他攻擊，這種攻擊在客戶端進(jìn)行，最基本的 XSS 工具就是防止一段 javascript 腳本在用戶待提交的表單頁面，將用戶提交的數(shù)據(jù)和 cookie 偷取過來。

XSS 工具比 SQL 注入更加難以防護(hù)，各大公司網(wǎng)站都被 XSS 攻擊過，雖然這種攻擊與 php 語言無關(guān)，但可以使用 php 來篩選用戶數(shù)據(jù)達(dá)到保護(hù)用戶數(shù)據(jù)的目的，這里主要使用的是對用戶的數(shù)據(jù)進(jìn)行過濾，一般過濾掉 HTML 標(biāo)簽，特別是 a 標(biāo)簽。下面是一個(gè)普通的過濾方法：

function transform_HTML($string, $length = null) {// Helps prevent XSS attacks // Remove dead space. $string = trim($string); // Prevent potential Unicode codec problems. $string = utf8_decode($string); // HTMLize HTML-specific characters. $string = htmlentities($string, ENT_NOQUOTES); $string = str_replace(# , # , $string); $string = str_replace(% , % , $string); $length = intval($length); if ($length 0) { $string = substr($string, 0, $length); } return $string;}

這個(gè)函數(shù)將 HTML 的特殊字符轉(zhuǎn)換為了 HTML 實(shí)體，瀏覽器在渲染這段文本的時(shí)候以純文本形式顯示。如 strong bold /strong 會被顯示為：

STRONG BoldText /STRONG

上述函數(shù)的核心就是 htmlentities 函數(shù)，這個(gè)函數(shù)將 html 特殊標(biāo)簽轉(zhuǎn)換為 html 實(shí)體字符，這樣可以過濾大部分的 XSS 攻擊。

但是對于有經(jīng)驗(yàn)的 XSS 攻擊者，有更加巧妙的辦法進(jìn)行攻擊：將他們的惡意代碼使用十六進(jìn)制或者 utf- 8 編碼，而不是普通的 ASCII 文本，例如可以使用下面的方式進(jìn)行：

a href= http://www.codetc.com/a.php?variable=%22%3e %3c%53%43%52%49%50%54%3e%44%6f%73%6f%6d%65%74%68%69%6e%67%6d%61%6c%69%63%69%6f%75%73%3c%2f%53%43%52%49%50%54%3e rel= external nofollow

這樣瀏覽器渲染的結(jié)果其實(shí)是：

a href= http://www.codetc.com/a.php?variable= rel= external nofollow SCRIPT Dosomethingmalicious /SCRIPT

這樣就達(dá)到了攻擊的目的。為了防止這種情況，需要在 transform_HTML 函數(shù)的基礎(chǔ)上再將 #和 % 轉(zhuǎn)換為他們對應(yīng)的實(shí)體符號，同時(shí)加上了 $length 參數(shù)來限制提交的數(shù)據(jù)的最大長度。

使用 SafeHTML 防止 XSS 攻擊

上述關(guān)于 XSS 攻擊的防護(hù)非常簡單，但是不包含用戶的所有標(biāo)記，同時(shí)有上百種繞過過濾函數(shù)提交 javascript 代碼的方法，也沒有辦法能完全阻止這個(gè)情況。

目前，沒有一個(gè)單一的腳本能保證不被攻擊突破，但是總有相對來說防護(hù)程度更好的。一共有兩個(gè)安全防護(hù)的方式：白名單和黑名單。其中白名單更加簡單和有效。

一種白名單解決方案就是 SafeHTML，它足夠智能能夠識別有效的 HTML，然后就可以去除任何危險(xiǎn)的標(biāo)簽。這個(gè)需要基于 HTMLSax 包來進(jìn)行解析。

安裝使用 SafeHTML 的方法：

1、前往 http://pixel-apes.com/safehtml/?page=safehtml 下載最新的 SafeHTML2、將文件放入服務(wù)器的 classes 目錄，這個(gè)目錄包含所有的 SafeHTML 和 HTMLSax 庫 3、在自己的腳本中包含 SafeHTML 類文件 4、建立一個(gè) SafeHTML 對象 5、使用 parse 方法進(jìn)行過濾

?php/* If you re storing the HTMLSax3.php in the /classes directory, along with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, // Include the class file.require_once( classes/safehtml.php // Define some sample bad code.$data = This data would raise an alert script alert( XSS Attack) /script // Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml- parse($data);// Display result.echo The sanitized data is . $safe_data;?

SafeHTML 并不能完全防止 XSS 攻擊，只是一個(gè)相對復(fù)雜的腳本來檢驗(yàn)的方式。

使用單向 HASH 加密方式來保護(hù)數(shù)據(jù)

單向 hash 加密保證對每個(gè)用戶的密碼都是唯一的，而且不能被破譯的，只有最終用戶知道密碼，系統(tǒng)也是不知道原始密碼的。這樣的一個(gè)好處是在系統(tǒng)被攻擊后攻擊者也無法知道原始密碼數(shù)據(jù)。

加密和 Hash 是不同的兩個(gè)過程。與加密不同，Hash 是無法被解密的，是單向的；同時(shí)兩個(gè)不同的字符串可能會得到同一個(gè) hash 值，并不能保證 hash 值的唯一性。

MD5 函數(shù)處理過的 hash 值基本不能被破解，但是總是有可能性的，而且網(wǎng)上也有 MD5 的 hash 字典。

使用 mcrypt 加密數(shù)據(jù)

MD5 hash 函數(shù)可以在可讀的表單中顯示數(shù)據(jù)，但是對于存儲用戶的信用卡信息的時(shí)候，需要進(jìn)行加密處理后存儲，并且需要之后進(jìn)行解密。

最好的方法是使用 mcrypt 模塊，這個(gè)模塊包含了超過 30 中加密方式來保證只有加密者才能解密數(shù)據(jù)。

mcrypt 函數(shù)需要以下信息：

1、待加密數(shù)據(jù) 2、用來加密和解密數(shù)據(jù)的 key3、用戶選擇的加密數(shù)據(jù)的特定

算法

（cipher：如 MCRYPT_TWOFISH192,MCRYPT_SERPENT_256，MCRYPT_RC2, MCRYPT_DES, and MCRYPT_LOKI97）4、用來加密的模式 5、加密的種子，用來起始加密過程的數(shù)據(jù)，是一個(gè)額外的二進(jìn)制數(shù)據(jù)用來初始化加密算法 6、加密 key 和種子的長度，使用 mcrypt_get_key_size 函數(shù)和 mcrypt_get_block_size 函數(shù)可以獲取

如果數(shù)據(jù)和 key 都被盜取，那么攻擊者可以遍歷 ciphers 尋找開行的方式即可，因此我們需要將加密的 key 進(jìn)行 MD5 一次后保證安全性。同時(shí)由于 mcrypt 函數(shù)返回的加密數(shù)據(jù)是一個(gè)二進(jìn)制數(shù)據(jù)，這樣保存到數(shù)據(jù)庫字段中會引起其他錯(cuò)誤，使用了 base64encode 將這些數(shù)據(jù)轉(zhuǎn)換為了十六進(jìn)制數(shù)方便保存。

以上就上有關(guān)針對 PHP 開發(fā)安全問題的相關(guān)總結(jié)的相關(guān)介紹，要了解更多 PHP 開發(fā) 安全總結(jié)內(nèi)容請登錄丸趣 TV。

關(guān)于 PHP 開發(fā)安全問題的示例分析問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注丸趣 TV 行業(yè)資訊頻道了解更多相關(guān)知識。

正文完