php程序員毫不能違背的安全鐵則

      做爲PHP程序員，特別是新手，對於互聯網的險惡老是知道的太少，對於外部的入侵有不少時候是素手無策的，他們根本不知道黑客是如何入侵的、提交入侵、上傳漏洞、sql 注入、跨腳本攻擊等等。做爲最基本的防範你須要注意你的外部提交，作好第一面安全機制處理防火牆。

規則 1：毫不要信任外部數據或輸入

    關於Web應用程序安全性，必須認識到的第一件事是不該該信任外部數據。外部數據(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數據。在採起措施確保安全以前，來自任何其餘來源(好比 GET 變量、表單 POST、數據庫、配置文件、會話變量或 Cookie)的任何數據都是不可信任的。

例如，下面的數據元素能夠被認爲是安全的，由於它們是在PHP中設置的。

清單 1. 安全無暇的代碼 

<?php
$myUsername = 'tmyer';
$arrayarrayUsers = array('tmyer', 'tom', 'tommy'); 
define('GREETING', 'Hello there'.$myUsername);
?>

可是，下面的數據元素都是有瑕疵的。

清單 2. 不安全、有瑕疵的代碼

<?php
$myUsername = $_POST['username']; //tainted!  
$arrayarrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!  
define(「GREETING」, 'hello there' . $myUsername); //tainted! 
?>

    爲何第一個變量$myUsername 是有瑕疵的?由於它直接來自表單 POST。用戶能夠在這個輸入域中輸入任何字符串，包括用來清除文件或運行之前上傳的文件的惡意命令。您可能會問，「難道不能使用只接受字母 A-Z 的客戶端(Javascrīpt)表單檢驗腳原本避免這種危險嗎?」是的，這老是一個有好處的步驟，可是正如在後面會看到的，任何人均可以將任何表單下載到本身的機器上，修改它，而後從新提交他們須要的任何內容。

    解決方案很簡單：必須對$_POST['username'] 運行清理代碼。若是不這麼作，那麼在使用$myUsername的任何其餘時候(好比在數組或常量中)，就可能污染這些對象。對用戶輸入進行清理的一個簡單方法是，使用正則表達式來處理它。在這個示例中，只但願接受字母。將字符串限制爲特定數量的字符，或者要求全部字母都是小寫的，這可能也是個好主意。

清單 3. 使用戶輸入變得安全

<?php
$myUsername = cleanInput($_POST['username']); //clean!  
$arrayarrayUsers = array($myUsername, 'tom', 'tommy'); //clean!  
define('GREETING', 'hello there'.$myUsername); //clean!  
function cleanInput($input){   
    $clean = strtolower($input);  
    $clean = preg_replace('/[^a-z]/', '', $clean);  
    $clean = substr($clean,0,12);
    return $clean;  
}  
?>

規則 2：禁用那些使安全性難以實施的PHP設置

    已經知道了不能信任用戶輸入，還應該知道不該該信任機器上配置 PHP 的方式。例如，要確保禁用 register_globals。若是啓用了 register_globals，就可能作一些粗心的事情，好比使用 $variable 替換同名的 GET 或 POST 字符串。經過禁用這個設置，PHP 強迫您在正確的名稱空間中引用正確的變量。要使用來自表單 POST 的變量，應該引用 $_POST['variable']。這樣就不會將這個特定變量誤會成 cookie、會話或 GET 變量。

規則 3：若是不能理解它，就不能保護它

    一些開發人員使用奇怪的語法，或者將語句組織得很緊湊，造成簡短可是含義模糊的代碼。這種方式可能效率高，可是若是您不理解代碼正在作什麼，那麼就沒法決定如何保護它。例如，您喜歡下面兩段代碼中的哪一段?

清單 4. 使代碼容易獲得保護 

<?php
//obfuscated code  
$input = (isset($_POST['username'])?$_POST['username']:'');  
//unobfuscated code  
$input = '';  
if (isset($_POST['username'])){  
    $input = $_POST['username'];  
}else{  
    $input = '';  
} 
?>

在第二個比較清晰的代碼段中，很容易看出 $input 是有瑕疵的，須要進行清理，而後才能安全地處理。

規則 4：「縱深防護」 是新的法寶

    本教程將用示例來講明如何保護在線表單，同時在處理表單的 PHP 代碼中採用必要的措施。一樣，即便使用 PHP regex 來確保 GET 變量徹底是數字的，仍然能夠採起措施確保 SQL 查詢使用轉義的用戶輸入。縱深防護不僅是一種好思想，它能夠確保您不會陷入嚴重的麻煩。既然已經討論了基本規則，如今就來研究第一種威脅：SQL 注入攻擊。

　　

◆防止SQL注入攻擊

　　在SQL注入攻擊中，用戶經過操縱表單或 GET 查詢字符串，將信息添加到數據庫查詢中。例如，假設有一個簡單的登陸數據庫。這個數據庫中的每一個記錄都有一個用戶名字段和一個密碼字段。構建一個登陸表單，讓用戶可以登陸。

　　

<html> 
<head> 
<title>Login</title> 
</head> 
<body> 
<form action="a.php" method="post"> 
<p>
	<label>Username</label> 
	<input type='text' name='user' id='user'> 
</p> 
<p>
	<label>Password</label> 
	<input type='password' name='pw' id='pw'> 
</p> 
<p><input type='submit' value='login'></p> 
</form> 
</body> 
</html> 

　　

這個表單接受用戶輸入的用戶名和密碼，並將用戶輸入提交給名爲verify.php的文件。在這個文件中，PHP處理來自登陸表單的數據，以下所示：

清單 5. 不安全的 PHP 表單處理代碼

<?php 
$okay = 0;  
$username = $_POST['user'];  
$pw = $_POST['pw'];  
$sql = "select count(*) as ctr from users where username='".$username."' and password='". $pw."' limit 1";  
$result = MySQL_query($sql);  
while ($data = mysql_fetch_object($result)){  
    if ($data->ctr == 1){  
    //they’re okay to enter The application!  
    $okay = 1;  
    }  
}  
if ($okay){  
    $_SESSION['loginokay'] = true;  
    header('index.php');  
}else{  
    header('login.php');  
}  
?>

這段代碼看起來沒問題，對嗎?世界各地成百(甚至成千)的 PHP/MySQL 站點都在使用這樣的代碼。它錯在哪裏?好，記住 「不能信任用戶輸入」。這裏沒有對來自用戶的任何信息進行轉義，所以使應用程序容易受到攻擊。具體來講，可能會出現任何類型的SQL注入攻擊。例如，若是用戶輸入 foo 做爲用戶名，輸入 ‘ or ’1′=’1 做爲密碼，那麼實際上會將如下字符串傳遞給 PHP，而後將查詢傳遞給 MySQL：

<?php 
$sql = "select count(*) as ctr from users where username='foo' and password='' or '1'='1' limit 1";  
?> 

　　　這個查詢老是返回計數值 1，所以 PHP 會容許進行訪問。經過在密碼字符串的末尾註入某些惡意 SQL，黑客就能裝扮成合法的用戶。解決這個問題的辦法是，將 PHP 的內置 mysql_real_escape_string() 函數用做任何用戶輸入的包裝器。這個函數對字符串中的字符進行轉義，使字符串不可能傳遞撇號等特殊字符並讓 MySQL 根據特殊字符進行操做。清單7展現了帶轉義處理的代碼。

清單7展現了帶轉義處理的代碼 

<?php    
$okay = 0;    
$username = $_POST['user'];    
$pw = $_POST['pw'];    
$sql = "select count(*) as ctr from users where username='".mysql_real_
_string($username)."' and password='". mysql_real_escape_string($pw)."'
 limit 1";     
$result = mysql_query($sql);    
while ($data = mysql_fetch_object($result)){        
       if ($data->ctr == 1){          //they're okay to enter the application!            
              $okay = 1;         
       }    
}    
if ($okay){        
    $_SESSION['loginokay'] = true;        
    header("index.php");    
}  
 else{        
     header("login.php");    
 }   
?>

     使用 mysql_real_escape_string() 做爲用戶輸入的包裝器，就能夠避免用戶輸入中的任何惡意 SQL 注入。若是用戶嘗試經過 SQL 注入傳遞畸形的密碼，那麼會將如下查詢傳遞給數據庫：

select count(*) as ctr from users where username='foo' and password=
'\' or \'1\'=\'1' limit 1