首页 > 代码库 > PHP开发常规安全问题总结

PHP开发常规安全问题总结

文章来源:PHP开发学习门户

地址:http://www.phpthinking.com/archives/575

php给了开发人员极大的灵活性,可是这也为安全问题带来了潜在的隐患,最近须要总结一下以往的问题。在这里借翻译一篇文章同一时候加上自己开发的一些感触总结一下。

简单介绍

当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。

PHP脚本语言对安全问题并不关心。特别是对大多数没有经验的开发人员来说。

每当你讲不论什么涉及到钱財事务等交易问题时。须要特别注意安全问题的考虑。比如开发一个论坛或者是一个购物车等。

安全保护一般性要点

  • 不相信表单

对于一般的Javascript前台验证,因为无法得知用户的行为。比如关闭了浏览器的javascript引擎。这样通过POST恶意数据到server。须要在server端进行验证,对每一个php脚本验证传递到的数据。防止XSS攻击和SQL注入

  • 不相信用户

要如果你的站点接收的每一条数据都是存在恶意代码的。存在隐藏的威胁,要对每一条数据都进行清理

  • 关闭全局变量

在php.ini文件里进行下面配置:

1 register_globals = Off

假设这个配置选项打开之后。会出现非常大的安全隐患。比如有一个process.php的脚本文件。会将接收到的数据插入到数据库,接收用户输入数据的表单可能例如以下:

1 <input name="username" type="text" size="15" maxlength="64">

这样,当提交数据到process.php之后,php会注冊一个$username变量。将这个变量数据提交到process.php。同一时候对于不论什么POST或GET请求參数,都会设置这种变量。假设不是显示进行初始化那么就会出现以下的问题:

1 <?php
2 // Define $authorized = true only if user is authenticated
3 if (authenticated_user()) {
4 $authorized = true;
5 }
6 ?

>

此处。如果authenticated_user函数就是推断$authorized变量的值,如果开启了register_globals配置。那么不论什么用户都能够发送一个请求。来设置$authorized变量的值为随意值从而就能绕过这个验证。


全部的这些提交数据都应该通过PHP提前定义内置的全局数组来获取,包含$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等。当中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量。默认的顺序是$_COOKIE、$_POST、$_GET。
推荐的安全配置选项
error_reporting设置为Off:不要暴露错误信息给用户,开发的时候能够设置为ON
safe_mode设置为Off
register_globals设置为Off
将下面函数禁用:system、exec、passthru、shell_exec、proc_open、popen
open_basedir设置为 /tmp ,这样能够让session信息有存储权限,同一时候设置单独的站点根文件夹
expose_php设置为Off
allow_url_fopen设置为Off
allow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句,须要特别注意安全性。由于用户可能输入特定语句使得原有的SQL语句改变了功能。类似以下的样例:

1 $sql "select * from pinfo where product = ‘$product‘";

此时假设用户输入的$product參数为:
39′; DROP pinfo; SELECT ‘FOO
那么终于SQL语句就变成了例如以下的样子:

1 select product from pinfo where product = ‘39‘; DROP pinfo; SELECT ‘FOO‘

这样就会变成三条SQL语句,会造成pinfo表被删除,这样会造成严重的后果。
这个问题能够简单的使用PHP的内置函数解决:

1 $sql ‘Select * from pinfo where product = ‘"‘
2 mysql_real_escape_string($product) . ‘"‘;

防止SQL注入攻击须要做好两件事:
对输入的參数总是进行类型验证
对单引號、双引號、反引號等特殊字符总是使用mysql_real_escape_string函数进行转义
可是,这里依据开发经验,不要开启php的Magic Quotes。这个特性在php6中已经废除。总是自己在须要的时候进行转义。

防止主要的XSS攻击

XSS攻击不像其它攻击,这样的攻击在client进行。最主要的XSS工具就是防止一段javascript脚本在用户待提交的表单页面。将用户提交的数据和cookie偷取过来。
XSS工具比SQL注入更加难以防护,各大公司站点都被XSS攻击过,尽管这样的攻击与php语言无关。但能够使用php来筛选用户数据达到保护用户数据的目的,这里主要使用的是对用户的数据进行过滤,一般过滤掉HTML标签,特别是a标签。

以下是一个普通的过滤方法:

01 function transform_HTML($string$length = null) {
02 // Helps prevent XSS attacks
03 // Remove dead space.
04 $string = trim($string);
05 // Prevent potential Unicode codec problems.
06 $string = utf8_decode($string);
07 // HTMLize HTML-specific characters.
08 $string = htmlentities($string, ENT_NOQUOTES);
09 $string str_replace("#""#"$string);
10 $string str_replace("%""%"$string);
11 $length intval($length);
12 if ($length > 0) {
13 $string substr($string, 0, $length);
14 }
15 return $string;
16 }

这个函数将HTML的特殊字符转换为了HTML实体,浏览器在渲染这段文本的时候以纯文本形式显示。如<strong>bold</strong>会被显示为:
&lt;STRONG&gt;BoldText&lt;/STRONG&gt;
上述函数的核心就是htmlentities函数,这个函数将html特殊标签转换为html实体字符,这样能够过滤大部分的XSS攻击。


可是对于有经验的XSS攻击者。有更加巧妙的办法进行攻击:将他们的恶意代码使用十六进制或者utf-8编码。而不是普通的ASCII文本。比如能够使用以下的方式进行:

1 <a href=http://www.mamicode.com/"http://host/a.php?

variable=%22%3e %3c%53%43%52%49%50%54%3e%44%6f%73%6f%6d%65%74%68%69%6e%67%6d%61%6c%69%63%69%6f%75%73%3c%2f%53%43%52%49%50%54%3e">

这样浏览器渲染的结果事实上是:

1 <a href=http://www.mamicode.com/"http://host/a.php?variable="> <SCRIPT>Dosomethingmalicious</SCRIPT>

这样就达到了攻击的目的。为了防止这样的情况,须要在transform_HTML函数的基础上再将#和%转换为他们相应的实体符号,同一时候加上了$length參数来限制提交的数据的最大长度。

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护很easy。可是不包括用户的全部标记,同一时候有上百种绕过过滤函数提交javascript代码的方法,也没有办法能全然阻止这个情况。
眼下。没有一个单一的脚本能保证不被攻击突破,可是总有相对来说防护程度更好的。一共同拥有两个安全防护的方式:白名单和黑名单。当中白名单更加简单和有效。


一种白名单解决方式就是SafeHTML。它足够智能可以识别有效的HTML,然后就行去除不论什么危急的标签。

这个须要基于HTMLSax包来进行解析。
安装使用SafeHTML的方法:
1、前往http://pixel-apes.com/safehtml/?

page=safehtml 下载最新的SafeHTML
2、将文件放入server的classes 文件夹,这个文件夹包括全部的SafeHTML和HTMLSax库
3、在自己的脚本中包括SafeHTML类文件
4、建立一个SafeHTML对象
5、使用parse方法进行过滤

01 <?php
02 /* If you‘re storing the HTMLSax3.php in the /classes directory, along
03 with the safehtml.php script, define XML_HTMLSAX3 as a null string. */
04 define(XML_HTMLSAX3, ‘‘);
05 // Include the class file.
06 require_once(‘classes/safehtml.php‘);
07 // Define some sample bad code.
08 $data "This data would raise an alert <script>alert(‘XSS Attack‘)</script>";
09 // Create a safehtml object.
10 $safehtml new safehtml();
11 // Parse and sanitize the data.
12 $safe_data $safehtml->parse($data);
13 // Display result.
14 echo ‘The sanitized data is <br />‘ $safe_data;
15 ?>

SafeHTML并不能全然防止XSS攻击。仅仅是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据

单向hash加密保证对每一个用户的password都是唯一的,并且不能被破译的,仅仅有终于用户知道password。系统也是不知道原始password的。

这种一个优点是在系统被攻击后攻击者也无法知道原始password数据。
加密和Hash是不同的两个过程。与加密不同。Hash是无法被解密的,是单向的;同一时候两个不同的字符串可能会得到同一个hash值,并不能保证hash值的唯一性。
MD5函数处理过的hash值基本不能被破解,可是总是有可能性的,并且网上也有MD5的hash字典。

使用mcrypt加密数据
MD5 hash函数能够在可读的表单中显示数据,可是对于存储用户的信用卡信息的时候。须要进行加密处理后存储,而且须要之后进行解密。


最好的方法是使用mcrypt模块。这个模块包括了超过30中加密方式来保证仅仅有加密者才干解密数据。

01 <?php
02 $data "Stuff you want encrypted";
03 $key "Secret passphrase used to encrypt your data";
04 $cipher "MCRYPT_SERPENT_256";
05 $mode "MCRYPT_MODE_CBC";
06 function encrypt($data$key$cipher$mode) {
07 // Encrypt data
08 return (string)
09 base64_encode
10 (
11 mcrypt_encrypt
12 (
13 $cipher,
14 substr(md5($key),0,mcrypt_get_key_size($cipher$mode)),
15 $data,
16 $mode,
17 substr(md5($key),0,mcrypt_get_block_size($cipher$mode))
18 )
19 );
20 }
21 function decrypt($data$key$cipher$mode) {
22 // Decrypt data
23 return (string)
24 mcrypt_decrypt
25 (
26 $cipher,
27 substr(md5($key),0,mcrypt_get_key_size($cipher$mode)),
28 base64_decode($data),
29 $mode,
30 substr(md5($key),0,mcrypt_get_block_size($cipher$mode))
31 );
32 }
33 ?>

mcrypt函数须要下面信息:
1、待加密数据
2、用来加密和解密数据的key
3、用户选择的加密数据的特定算法(cipher:如 MCRYPT_TWOFISH192,MCRYPT_SERPENT_256。 MCRYPT_RC2, MCRYPT_DES, and MCRYPT_LOKI97)
4、用来加密的模式
5、加密的种子,用来起始加密过程的数据,是一个额外的二进制数据用来初始化加密算法
6、加密key和种子的长度,使用mcrypt_get_key_size函数和mcrypt_get_block_size函数能够获取
假设数据和key都被盗取,那么攻击者能够遍历ciphers寻找开行的方式就可以,因此我们须要将加密的key进行MD5一次后保证安全性。同一时候因为mcrypt函数返回的加密数据是一个二进制数据。这样保存到数据库字段中会引起其它错误,使用了base64encode将这些数据转换为了十六进制数方便保存。

PHP开发常规安全问题总结