PHP开发常规安全问题总结

文章来源：PHP开发学习门户

地址：http://www.phpthinking.com/archives/575

php给了开发人员极大的灵活性，可是这也为安全问题带来了潜在的隐患，最近须要总结一下以往的问题。在这里借翻译一篇文章同一时候加上自己开发的一些感触总结一下。

简单介绍

当开发一个互联网服务的时候，必须时刻牢记安全观念，并在开发的代码中体现。

PHP脚本语言对安全问题并不关心。特别是对大多数没有经验的开发人员来说。

每当你讲不论什么涉及到钱財事务等交易问题时。须要特别注意安全问题的考虑。比如开发一个论坛或者是一个购物车等。

安全保护一般性要点

不相信表单

对于一般的Javascript前台验证，因为无法得知用户的行为。比如关闭了浏览器的javascript引擎。这样通过POST恶意数据到server。须要在server端进行验证，对每一个php脚本验证传递到的数据。防止XSS攻击和SQL注入

不相信用户

要如果你的站点接收的每一条数据都是存在恶意代码的。存在隐藏的威胁，要对每一条数据都进行清理

关闭全局变量

在php.ini文件里进行下面配置：

`1`	`register_globals = Off`

假设这个配置选项打开之后。会出现非常大的安全隐患。比如有一个process.php的脚本文件。会将接收到的数据插入到数据库，接收用户输入数据的表单可能例如以下：

`1`	`<input name="username"` `type="text"` `size="15"` `maxlength="64">`

这样，当提交数据到process.php之后，php会注冊一个$username变量。将这个变量数据提交到process.php。同一时候对于不论什么POST或GET请求參数，都会设置这种变量。假设不是显示进行初始化那么就会出现以下的问题：

1 <?php

`2`	`// Define $authorized = true only if user is authenticated`

`3`	`if` `(authenticated_user()) {`

`4`	`$authorized` `= true;`

5 }

6

>

此处。如果authenticated_user函数就是推断$authorized变量的值，如果开启了register_globals配置。那么不论什么用户都能够发送一个请求。来设置$authorized变量的值为随意值从而就能绕过这个验证。

全部的这些提交数据都应该通过PHP提前定义内置的全局数组来获取，包含$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等。当中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量。默认的顺序是$_COOKIE、$_POST、$_GET。

推荐的安全配置选项

error_reporting设置为Off：不要暴露错误信息给用户，开发的时候能够设置为ON

safe_mode设置为Off

register_globals设置为Off

将下面函数禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ，这样能够让session信息有存储权限，同一时候设置单独的站点根文件夹

expose_php设置为Off

allow_url_fopen设置为Off

allow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句，须要特别注意安全性。由于用户可能输入特定语句使得原有的SQL语句改变了功能。类似以下的样例：

`1`	`$sql` `=` `"select * from pinfo where product = '$product'";`

此时假设用户输入的$product參数为：

39′; DROP pinfo; SELECT ‘FOO

那么终于SQL语句就变成了例如以下的样子：

`1`	`select product from pinfo where product =` `'39'; DROP pinfo; SELECT` `'FOO'`

这样就会变成三条SQL语句，会造成pinfo表被删除，这样会造成严重的后果。

这个问题能够简单的使用PHP的内置函数解决：

`1`	`$sql` `=` `'Select * from pinfo where product = '"'`

`2`	`mysql_real_escape_string($product) .` `'"';`

防止SQL注入攻击须要做好两件事：

对输入的參数总是进行类型验证

对单引號、双引號、反引號等特殊字符总是使用mysql_real_escape_string函数进行转义

可是，这里依据开发经验，不要开启php的Magic Quotes。这个特性在php6中已经废除。总是自己在须要的时候进行转义。

防止主要的XSS攻击

XSS攻击不像其它攻击，这样的攻击在client进行。最主要的XSS工具就是防止一段javascript脚本在用户待提交的表单页面。将用户提交的数据和cookie偷取过来。

XSS工具比SQL注入更加难以防护，各大公司站点都被XSS攻击过，尽管这样的攻击与php语言无关。但能够使用php来筛选用户数据达到保护用户数据的目的，这里主要使用的是对用户的数据进行过滤，一般过滤掉HTML标签，特别是a标签。

以下是一个普通的过滤方法：

`01`	`function` `transform_HTML($string,` `$length` `= null) {`

`02`	`// Helps prevent XSS attacks`

`03`	`// Remove dead space.`

`04`	`$string` `= trim($string);`

`05`	`// Prevent potential Unicode codec problems.`

`06`	`$string` `= utf8_decode($string);`

`07`	`// HTMLize HTML-specific characters.`

`08`	`$string` `= htmlentities($string, ENT_NOQUOTES);`

`09`	`$string` `=` `str_replace("#",` `"#",` `$string);`

`10`	`$string` `=` `str_replace("%",` `"%",` `$string);`

`11`	`$length` `=` `intval($length);`

`12`	`if` `($length` `> 0) {`

`13`	`$string` `=` `substr($string, 0,` `$length);`

14 }

`15`	`return` `$string;`

16 }

这个函数将HTML的特殊字符转换为了HTML实体，浏览器在渲染这段文本的时候以纯文本形式显示。如<strong>bold</strong>会被显示为：

<STRONG>BoldText</STRONG>

上述函数的核心就是htmlentities函数，这个函数将html特殊标签转换为html实体字符，这样能够过滤大部分的XSS攻击。

可是对于有经验的XSS攻击者。有更加巧妙的办法进行攻击：将他们的恶意代码使用十六进制或者utf-8编码。而不是普通的ASCII文本。比如能够使用以下的方式进行：

`1`	`<a href="http://host/a.php?` `variable=%22%3e %3c%53%43%52%49%50%54%3e%44%6f%73%6f%6d%65%74%68%69%6e%67%6d%61%6c%69%63%69%6f%75%73%3c%2f%53%43%52%49%50%54%3e">`

这样浏览器渲染的结果事实上是：

`1`	`<a href="http://host/a.php?variable="> <SCRIPT>Dosomethingmalicious</SCRIPT>`

这样就达到了攻击的目的。为了防止这样的情况，须要在transform_HTML函数的基础上再将#和%转换为他们相应的实体符号，同一时候加上了$length參数来限制提交的数据的最大长度。

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护很easy。可是不包括用户的全部标记，同一时候有上百种绕过过滤函数提交javascript代码的方法，也没有办法能全然阻止这个情况。

眼下。没有一个单一的脚本能保证不被攻击突破，可是总有相对来说防护程度更好的。一共同拥有两个安全防护的方式：白名单和黑名单。当中白名单更加简单和有效。

一种白名单解决方式就是SafeHTML。它足够智能可以识别有效的HTML，然后就行去除不论什么危急的标签。

这个须要基于HTMLSax包来进行解析。

安装使用SafeHTML的方法：

1、前往http://pixel-apes.com/safehtml/?

page=safehtml 下载最新的SafeHTML

2、将文件放入server的classes 文件夹，这个文件夹包括全部的SafeHTML和HTMLSax库

3、在自己的脚本中包括SafeHTML类文件

4、建立一个SafeHTML对象

5、使用parse方法进行过滤

01 <?php

`02`	`/* If you're storing the HTMLSax3.php in the /classes directory, along`

`03`	`with the safehtml.php script, define XML_HTMLSAX3 as a null string. */`

`04`	`define(XML_HTMLSAX3,` `'');`

`05`	`// Include the class file.`

`06`	`require_once('classes/safehtml.php');`

`07`	`// Define some sample bad code.`

`08`	`$data` `=` `"This data would raise an alert <script>alert('XSS Attack')</script>";`

`09`	`// Create a safehtml object.`

`10`	`$safehtml` `=` `new` `safehtml();`

`11`	`// Parse and sanitize the data.`

`12`	`$safe_data` `=` `$safehtml->parse($data);`

`13`	`// Display result.`

`14`	`echo` `'The sanitized data is <br />'` `.` `$safe_data;`

15 ?>

SafeHTML并不能全然防止XSS攻击。仅仅是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据

单向hash加密保证对每一个用户的password都是唯一的，并且不能被破译的，仅仅有终于用户知道password。系统也是不知道原始password的。

这种一个优点是在系统被攻击后攻击者也无法知道原始password数据。

加密和Hash是不同的两个过程。与加密不同。Hash是无法被解密的，是单向的；同一时候两个不同的字符串可能会得到同一个hash值，并不能保证hash值的唯一性。

MD5函数处理过的hash值基本不能被破解，可是总是有可能性的，并且网上也有MD5的hash字典。

使用mcrypt加密数据

MD5 hash函数能够在可读的表单中显示数据，可是对于存储用户的信用卡信息的时候。须要进行加密处理后存储，而且须要之后进行解密。

最好的方法是使用mcrypt模块。这个模块包括了超过30中加密方式来保证仅仅有加密者才干解密数据。

01 <?php

`02`	`$data` `=` `"Stuff you want encrypted";`

`03`	`$key` `=` `"Secret passphrase used to encrypt your data";`

`04`	`$cipher` `=` `"MCRYPT_SERPENT_256";`

`05`	`$mode` `=` `"MCRYPT_MODE_CBC";`

`06`	`function` `encrypt($data,` `$key,` `$cipher,` `$mode) {`

`07`	`// Encrypt data`

`08`	`return` `(string)`

`09`	`base64_encode`

10 (

`11`	`mcrypt_encrypt`

12 (

`13`	`$cipher,`

`14`	`substr(md5($key),0,mcrypt_get_key_size($cipher,` `$mode)),`

15 $data,

16 $mode,

`17`	`substr(md5($key),0,mcrypt_get_block_size($cipher,` `$mode))`

18 )

19 );

20 }

`21`	`function` `decrypt($data,` `$key,` `$cipher,` `$mode) {`

`22`	`// Decrypt data`

`23`	`return` `(string)`

`24`	`mcrypt_decrypt`

25 (

`26`	`$cipher,`

`27`	`substr(md5($key),0,mcrypt_get_key_size($cipher,` `$mode)),`

`28`	`base64_decode($data),`

29 $mode,

`30`	`substr(md5($key),0,mcrypt_get_block_size($cipher,` `$mode))`

31 );

32 }

33 ?>

mcrypt函数须要下面信息：

1、待加密数据

2、用来加密和解密数据的key

3、用户选择的加密数据的特定算法（cipher：如 MCRYPT_TWOFISH192,MCRYPT_SERPENT_256。 MCRYPT_RC2, MCRYPT_DES, and MCRYPT_LOKI97）

4、用来加密的模式

5、加密的种子，用来起始加密过程的数据，是一个额外的二进制数据用来初始化加密算法

6、加密key和种子的长度，使用mcrypt_get_key_size函数和mcrypt_get_block_size函数能够获取

假设数据和key都被盗取，那么攻击者能够遍历ciphers寻找开行的方式就可以，因此我们须要将加密的key进行MD5一次后保证安全性。同一时候因为mcrypt函数返回的加密数据是一个二进制数据。这样保存到数据库字段中会引起其它错误，使用了base64encode将这些数据转换为了十六进制数方便保存。