PHP安全編碼

時間 2019-11-07

標籤 php 安全編碼欄目 PHP 简体版

原文原文鏈接

1、開始前的一些建議

1.不要相信任何用戶輸入或第三方數據來源，包括$_GET、$_POST（$_FILES）、$_COOKIE、$_SERVER的部分參數等。php

2.HTML、PHP、MYSQL等使用統一的UTF-8編碼。html

3.數據庫SQL構造時儘可能使用'包裹參數。mysql

4.參數對比時正確使用 === 和 == 。web

5.儘可能選擇白名單而非黑名單式過濾。sql

2、關於SQL注入

1.SQL注入的產生緣由

SQL注入的產生在於外界的輸入改變了本來定義的SQL語意，譬如：數據庫

本來定義的SQL語意，瀏覽器

$_GET['name'] = 'abc';安全

$name = $_GET['name'];服務器

SELECT * FROM `admin` where user_name = '$name';cookie

最終生成的SQL爲，SELECT * FROM `admin` where user_name = 'abc';

外界輸入改變後的語意，

$_GET['name'] = 'abc\' or \'a\'=\'a';

$name = $_GET['name'];

SELECT * FROM `admin` where user_name = '$name';

最終生成的SQL爲，SELECT * FROM `admin` where user_name = 'abc' or 'a'='a';

此時SQL的語意多加了原定以外的 or 'a'='a' ，因而注入產生。

2.SQL注入的防護

（1）使用PDO或mysqli預編譯處理SQL

使用預處理語句時，PHP請求MySQL將SQL進行預編譯，而後再發送參數，所以不管參數是何內容MySQL均將參數看成普通的字符串（或整型、浮點型）處理。

例如上一例子最終生成的SQL爲，SELECT * FROM `admin` where user_name = 'abc\' or \'a\'=\'a';

此時沒法發生SQL語意的改變，故能防止SQL注入。

注意：PDO兼容大部分數據庫，但須要PHP版本5.0+；mysqli只支持MySQL數據庫而且須要MySQL數據庫版本4.1.13+（服務端版本5.0.7+）。

（2）沒法使用PDO或mysqli的預編譯處理SQL時，使用addslashes而非mysql_real_escape_string做爲臨時安全過濾函數，對於參數類型爲整型時使用intval將變量轉換成整型。

使用addslashes能有效做爲安全過濾的前提條件是PHP請求數據庫時的字符集爲UTF-8且參數位於 '' 內，其餘的諸如GBK等因其字符集的特殊性，部分特殊字符轉義後仍能造成 ' 從而繞過轉義。譬如：

在GBK字符集的環境下，0xbf27通過addslashes轉義後獲得0xbf5c27，數據庫將0xbf5c看成單字節字符而剩餘的27則被看成 ' 解析，故而依舊能形成SQL注入。

注意：在舊版的PHP中（具體版本未知）mysql_real_escape_string是MySQL擴展中的函數，並不是PHP原有函數，此函數在調用時先判斷是否已經鏈接上數據庫，這就意味着mysql_real_escape_string必須是鏈接數據庫以後才能使用，新版的PHP雖然調用時再也不需要判斷是否已經鏈接上數據庫，但會拋出一個警告（mysql_real_escape_string(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead）。

3、關於XSS

1.XSS產生的緣由

正如《白帽子講web安全》中所說：XSS本質仍是一直「HTML注入」，用戶的數據被當成了HTML代碼的一部分來執行，從而混淆了本來語意，譬如：

原語意，

$_GET['page'] = 1;

$page = $_GET['page'];

最終生成 <a href="http://www.xxx.com/?page=1">xss</a>

外界輸入改變後的語意，

$_GET['page'] = '1" onlick="alert(1)">';

$page = $_GET['page'];

最終生成 <a href="http://www.xxx.com/?page=1" onclick="alert(1)">xss</a>

2.XSS的防護

（1）針對普通HTML的輸出，使用htmlspecialchars進行安全過濾。

（2）針對連接類型（如圖片、超鏈等）的輸出也可以使用htmlspecialchars進行安全過濾，但若是變量是整個URL則應檢查這個變量是否以http或https開頭，若是不是則自動補齊避免出現僞協議類的XSS攻擊。（例子：<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">xss</a>）

注意：htmlentities只有使用ASCII或LATIN-1等HTML字符編碼時才須要使用，由於htmlentities會將不少安全的字符也轉換成HTML編碼。因爲htmlspecialchars並不會將 ' 轉換成HTML編碼，因此只有標籤屬性是以 "" 包裹變量而非 '' 時使用htmlspecialchars纔是安全的。

（3）針對富文本，採用白名單模式放行安全的標籤及屬性，再針對可能產生XSS的標籤和屬性作針對的安全過濾。

4、關於CSRF

1.CSRF產生的緣由

攻擊源以用戶的身份僞造請求，譬如：

a.com 站下存在着這樣的一個HTML標籤，<img src="http://b.com?action=del&id=1">

用戶請求a.com時將會產生一條請求 http://b.com?action=del&id=1 （假設這個請求的做用是刪除id爲1的一篇文章），瀏覽器會以用戶當前瀏覽器狀態在b.com的身份（主要爲cookie信息）請求http://b.com?action=del&id=1執行刪除id爲1的文章操做，這個操做並非用戶主觀操做而是攻擊源以用戶身份僞造的操做，而且這個請求是可以被攻擊源預知的。