php筛选-PHP开发安全问题总结

PHP给开发者带来了极大的灵活性，但也给安全问题带来了潜在的隐患。 近期有必要对前几年的问题进行总结。 这里我将一篇文章翻译一下php筛选，加上一些自己的感想，总结一下。

介绍

在开发互联网服务时，必须始终牢记安全概念并将其体现在开发的代码中。 PHP 脚本语言不太关心安全问题，特别是对于大多数缺乏经验的开发人员来说。 每当您谈论任何涉及金钱事务的交易时，您都需要非常小心安全考虑，例如开发峰会或购物车。

一般安全要点

不要相信表格

对于通常的Javascript前端验证来说，很难获知用户的行为，比如关闭浏览器的javascript引擎，从而将恶意数据通过POST发送到服务器，需要在服务器端进行验证，并且传递给每个php脚本的数据都经过验证，以防止XSS攻击和SQL注入

不信任用户

假设您的网站收到的每一条数据都包含恶意代码和隐藏威胁，每一条数据都必须清除

关闭全局变量

在php.ini文件中进行如下配置：

register_globals = Off

如果开启该配置选项，将会存在很大的安全风险。 例如，有一个process.php脚本文件，它将接收到的数据插入到数据库中，接收用户输入数据的形式可能如下：

这样，当数据提交到process.php时，php会注册一个$username变量，并将该变量数据提交到process.php，并为任何POST或GET请求参数设置这样的变量。 如果初始化时不显示，会出现以下问题：

这里，假设authentiated_user函数是确定$authorized变量的值。 如果启用了register_globals配置，那么任何用户都可以发送请求将$authorized变量的值设置为任何值，从而可以绕过此验证。

所有此类提交的数据都要通过PHP预定义的外部全局链表获取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一个$_GET/$_POST/$_COOKIE的联合变量三个链表中，默认顺序是$_COOKIE、$_POST、$_GET。

推荐的安全配置选项

error_reporting设置为Off：不向用户暴露错误消息，开发时可以设置为ON

安全模式设置为关闭

register_globals 设置为关闭

禁用以下函数：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为/tmp，这样可以存放会话信息，同时可以设置单独的网站根目录

hide_php 设置为关闭

allowed_url_fopen 设置为关闭

allowed_url_include 设置为关闭

SQL注入攻击

对于操作数据库的SQL语句来说，需要高度注意安全性，因为用户可能输入特定的单词和语句，导致原有的SQL语句改变其功能。 像下面这样：

$sql = "select * from pinfo where product = '$product'";

此时，如果用户输入的$product参数为：

39'; DROP pinfo; SELECT 'FOO

那么最终的 SQL 语句如下所示：

select product from pinfo where product = '39'; DROP pinfo; SELECT 'FOO'

这样就会产生三个SQL语句，从而导致pinfo表被删除，从而导致严重的后果。

使用 PHP 的外部函数可以轻松解决这个问题：

$sql = 'Select * from pinfo where product = '"' 
       mysql_real_escape_string($product) . '"';

为了防止SQL注入攻击，需要做两件事：

始终对输入参数进行类型验证

始终使用 mysql_real_escape_string 函数作为特殊字符的通配符，例如单冒号、双冒号和反逗号

不过根据这里的开发经验，不要在php中启用Magic Quotes。 这个功能在php6中早就被废除了，需要的时候总是执行通配符。

防止基本的 XSS 攻击

与其他攻击不同，XSS 攻击是在客户端进行的。 最基本的XSS工具就是防止javascript脚本窃取用户提交的表单页面上的数据和cookie。

XSS 工具比 SQL 注入更毫无防御能力。 各大公司的网站都曾遭受过XSS攻击。 虽然这些攻击与php语言无关，但是php可以用来过滤用户数据，从而保护用户数据。 这里主要用的是对User数据进行过滤，一般过滤掉HTML标签，特别是a标签。 以下是常见的过滤方法：

function transform_HTML($string, $length = null) {
// Helps prevent XSS attacks
    // Remove dead space.
    $string = trim($string);
    // Prevent potential Unicode codec problems.
    $string = utf8_decode($string);
    // HTMLize HTML-specific characters.
    $string = htmlentities($string, ENT_NOQUOTES);
    $string = str_replace("#", "#", $string);
    $string = str_replace("%", "%", $string);
    $length = intval($length);
    if ($length > 0) {
        $string = substr($string, 0, $length);
    }
    return $string;
}

该函数将 HTML 的特殊字符转换为 HTML 实体，浏览器在渲染此文本时以纯文本形式显示它。 如粗体会显示为：

<STRONG>粗体文本</STRONG>

上述函数的核心是htmlentities函数，该函数将html特殊标签转换为html实体字符，可以过滤大部分XSS攻击。

但对于经验丰富的 XSS 攻击者来说，还有更巧妙的攻击方式：将其恶意代码编码为十六进制或 utf-8，而不是普通的 ASCII 文本，例如，可以使用以下形式：

 Dosomethingmalicious

< php
/* If you're storing the HTMLSax3.php in the /classes directory, along
   with the safehtml.php script, define XML_HTMLSAX3 as a null string. */
define(XML_HTMLSAX3, '');
// Include the class file.
require_once('classes/safehtml.php');
// Define some sample bad code.
$data = "This data would raise an alert alert('XSS Attack')";
// Create a safehtml object.
$safehtml = new safehtml();
// Parse and sanitize the data.
$safe_data = $safehtml->parse($data);
// Display result.
echo 'The sanitized data is 
' . $safe_data;
 >