PHP開發安全問題

一、不相信表單

對於通常的Javascript前臺驗證，因爲沒法得知用戶的行爲，例如關閉了瀏覽器的javascript引擎，這樣經過POST惡意數據到服務器。須要在服務器端進行驗證，對每一個php腳本驗證傳遞到的數據，防止XSS攻擊和SQL注入

二、不相信用戶

要假設你的網站接收的每一條數據都是存在惡意代碼的，存在隱藏的威脅，要對每一條數據都進行清理

三、PHPINI的配置

register_globals = Off
error_reporting = Off
safe_mode = On
safe_mode_gid = On
allow_call_time_pass_reference = Off
disable_functions = phpinfo,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source
open_basedir = /data/www/tmp/:/data/www/
expose_php = Off
allow_url_fopen = Off
allow_url_include = Off

 四、SQL注入攻擊

防止SQL注入攻擊須要作好兩件事：

1）對輸入的參數老是進行類型驗證，對單引號、雙引號、反引號等特殊字符老是使用mysql_real_escape_string函數進行轉義

2）不要開啓php的Magic Quotes

其它方式

1）使用PDO

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {  
	do something with $row
}

 注意，在默認狀況使用PDO並無讓MySQL數據庫執行真正的預處理語句（緣由見下文）。爲了解決這個問題，你應該禁止PDO模擬預處理語句。一個正確使用PDO建立數據庫鏈接的例子以下：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

 2）使用mysqli

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
 
$stmt->execute();
 
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    
// do something with $row
}

 五、防止基本的XSS攻擊

1）這種攻擊在客戶端進行，最基本的XSS工具就是防止一段javascript腳本在用戶待提交的表單頁面，將用戶提交的數據和cookie偷取過來。
2）XSS工具比SQL注入更加難以防禦，各大公司網站都被XSS攻擊過，這裏主要使用的是對用戶的數據進行過濾，通常過濾掉HTML標籤，特別是a標籤。

下面是一個普通的過濾方法

function transform_HTML($string, $length = null) {
   // Helps prevent XSS attacks
    
   // Remove dead space.
    $string = trim($string);
    
   // Prevent potential Unicode codec problems.
    $string = utf8_decode($string);
    
   // HTMLize HTML-specific characters.
    $string = htmlentities($string, ENT_NOQUOTES);
    $string = str_replace("#", "#", $string);
    $string = str_replace("%", "%", $string);
    $length = intval($length);
    if ($length > 0) {
        $string = substr($string, 0, $length);
    }
    return $string;
}

這個函數將HTML的特殊字符轉換爲了HTML實體，瀏覽器在渲染這段文本的時候以純文本形式顯示。

如<strong>bold</strong>會被顯示爲：

&lt;STRONG&gt;BoldText&lt;/STRONG&gt;

上述函數的核心就是htmlentities函數，這個函數將html特殊標籤轉換爲html實體字符，這樣能夠過濾大部分的XSS攻擊。
可是對於有經驗的XSS攻擊者，有更加巧妙的辦法進行攻擊：將他們的惡意代碼使用十六進制或者utf-8編碼，而不是普通的ASCII文本，例如可使用下面的方式進行：

<a href="http://host/a.php?variable=%22%3e %3c%53%43%52%49%50%54%3e%44%6f%73%6f%6d%65%74%68%69%6e%67%6d%61%6c%69%63%69%6f%75%73%3c%2f%53%43%52%49%50%54%3e">

這樣瀏覽器渲染的結果實際上是：
<a href="http://host/a.php?variable="> <SCRIPT>Dosomethingmalicious</SCRIPT>

這樣就達到了攻擊的目的。

爲了防止這種狀況，須要在transform_HTML函數的基礎上再將#和%轉換爲他們對應的實體符號，同時加上了$length參數來限制提交的數據的最大長度。

使用SafeHTML防止XSS攻擊
上述關於XSS攻擊的防禦很是簡單，可是不包含用戶的全部標記，同時有上百種繞過過濾函數提交javascript代碼的方法，也沒有辦法能徹底阻止這個狀況。
目前，沒有一個單一的腳本能保證不被攻擊突破，可是總有相對來講防禦程度更好的。一共有兩個安全防禦的方式：白名單和黑名單。其中白名單更加簡單和有效。
一種白名單解決方案就是SafeHTML，它足夠智能可以識別有效的HTML，而後就能夠去除任何危險的標籤。這個須要基於HTMLSax包來進行解析。
安裝使用SafeHTML的方法：

一、前往http://pixel-apes.com/safehtml/?page=safehtml 下載最新的SafeHTML
二、將文件放入服務器的classes 目錄，這個目錄包含全部的SafeHTML和HTMLSax庫
三、在本身的腳本中包含SafeHTML類文件
四、創建一個SafeHTML對象
五、使用parse方法進行過濾

代碼以下：

<?php
/* If you're storing the HTMLSax3.php in the /classes directory, along
with the safehtml.php script, define XML_HTMLSAX3 as a null string. */

define(XML_HTMLSAX3, '');

// Include the class file.
require_once('classes/safehtml.php');

// Define some sample bad code.
$data = "This data would raise an alert <script>alert('XSS Attack')</script>";

// Create a safehtml object.
$safehtml = new safehtml();

// Parse and sanitize the data.
$safe_data = $safehtml->parse($data);

// Display result.
echo 'The sanitized data is ' . $safe_data;

注意：SafeHTML並不能徹底防止XSS攻擊，只是一個相對複雜的腳原本檢驗的方式

六、使用單向HASH加密方式來保護數據
單向hash加密保證對每一個用戶的密碼都是惟一的，並且不能被破譯的，只有最終用戶知道密碼，系統也是不知道原始密碼的。這樣的一個好處是在系統被攻擊後攻擊者也沒法知道原始密碼數據。
加密和Hash是不一樣的兩個過程。與加密不一樣，Hash是沒法被解密的，是單向的；同時兩個不一樣的字符串可能會獲得同一個hash值，並不能保證hash值的惟一性。
MD5函數處理過的hash值基本不能被破解，可是老是有可能性的，並且網上也有MD5的hash字典。

七、使用mcrypt加密數據

MD5 hash函數能夠在可讀的表單中顯示數據，可是對於存儲用戶的信用卡信息的時候，須要進行加密處理後存儲，而且須要以後進行解密。
最好的方法是使用mcrypt模塊，這個模塊包含了超過30中加密方式來保證只有加密者才能解密數據。

<?php
$data = "Stuff you want encrypted";
$key = "Secret passphrase used to encrypt your data";
$cipher = "MCRYPT_SERPENT_256";
$mode = "MCRYPT_MODE_CBC";
function encrypt($data, $key, $cipher, $mode) {
// Encrypt data
return (string)
	base64_encode
	(
		mcrypt_encrypt
		(
			$cipher,
			substr(md5($key),0,mcrypt_get_key_size($cipher, $mode)),
			$data,
			$mode,
			substr(md5($key),0,mcrypt_get_block_size($cipher, $mode))
		)
	);
}
function decrypt($data, $key, $cipher, $mode) {
// Decrypt data
    return (string)
		mcrypt_decrypt
			(
				$cipher,
				substr(md5($key),0,mcrypt_get_key_size($cipher, $mode)),
				base64_decode($data),
				$mode,
				substr(md5($key),0,mcrypt_get_block_size($cipher, $mode))
			);
}

 mcrypt函數須要如下信息：

一、待加密數據
二、用來加密和解密數據的key
三、用戶選擇的加密數據的特定算法（cipher：如 MCRYPT_TWOFISH192,MCRYPT_SERPENT_256， MCRYPT_RC2, MCRYPT_DES, and MCRYPT_LOKI97）
四、用來加密的模式
五、加密的種子，用來起始加密過程的數據，是一個額外的二進制數據用來初始化加密算法
六、加密key和種子的長度，使用mcrypt_get_key_size函數和mcrypt_get_block_size函數能夠獲取

若是數據和key都被盜取，那麼攻擊者能夠遍歷ciphers尋找開行的方式便可，所以咱們須要將加密的key進行MD5一次後保證安全性。同時因爲mcrypt函數返回的加密數據是一個二進制數據，這樣保存到數據庫字這樣保存到數據庫字段中會引發其餘錯誤，使用了base64encode將這些數據轉換爲了十六進制數方便保存。

 參考文獻：http://www.codeproject.com/Articles/363897/PHP-Security