在在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:
确保PHP数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的来源。
关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。
PHP数据过滤调度方法
这种方法是用一个单一的PHP脚本调度(通过 URL)。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。例如:
http://example.org/dispatch.php?task=print_formdispatch.php是唯一的根文件(Document root)。它可以让开发者做两件非常重要的事情:
在dispatch.php最开始实现一些全局的安全处理,并且确保这些处理不可以被绕过。容易确定在必要的地方进行数据过滤,特别是一些特殊目的的控制流操作中。看下面的例子以便进一步讨论dispatch.php脚本:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li><span>/* 全局安全处理 */ </span></li>
<li class="alt"><span>switch ($_GET['task']){case <br>'print_form':include '/inc/<br>presentation/form.inc'; </span></li>
<li><span>break; </span></li>
<li class="alt">
<span>case 'process_form':$</span><span class="attribute">form_valid</span><span> = </span><span class="attribute-value">false</span><span>; </span>
</li>
<li><span>include '/inc/logic/process.inc'; </span></li>
<li class="alt"><span>if ($form_valid){include '/inc/<br>presentation/end.inc';}else{include <br>'/inc/presentation/form.inc';}<br>break;default:include '/inc/presentation<br>/index.inc'; </span></li>
<li><span>break; </span></li>
<li class="alt"><span>} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>
如果这是唯一的可公开访问到的 PHP 脚本,则可以确信的一点是这个程序的设计可以确保在最开始的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如,不需要浏览整个代码就可以容易的知道:当$form_valid为true时,end.inc是唯一显示给用户的;由于它在process.inc被包含之前,并刚刚初始化为false,可以确定的是process.inc的内部逻辑会将设置它为true;否则表单将再次显示(可能会显示相关的错误信息)。
PHP数据过滤要注意的问题
如果你使用目录定向文件,如index.php(代替dispatch.php),你可以像这样使用 URL 地址:http://example.org/?task=print_form。
你还可以使用ApacheForceType重定向或者mod_rewrite来调整 URL 地址:http://example.org/app/print-form。
PHP数据过滤的包含方法
另外一种方式是使用单独一个模块,这个模块负责所有的安全处理。这个模块被包含在所有公开的 PHP 脚本的最前端(或者非常靠前的部分)。参考下面的脚本security.inc
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li><span>switch ($_POST['form']) </span></li>
<li class="alt"><span>{case 'login': </span></li>
<li>
<span>$</span><span class="attribute">allowed</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>$allowed[] = 'form'; </span></li>
<li><span>$allowed[] = 'username'; </span></li>
<li class="alt"><span>$allowed[] = 'password'; </span></li>
<li>
<span>$</span><span class="attribute">sent</span><span> = </span><span class="attribute-value">array_keys</span><span>($_POST); </span>
</li>
<li class="alt">
<span>if ($</span><span class="attribute">allowed</span><span> == $sent) </span>
</li>
<li><span>{include '/inc/logic/<br>process.inc';} </span></li>
<li class="alt"><span>break; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>
在这个PHP数据过滤例中,每个提交过来的表单都认为应当含有form这个唯一验证值,并且security.inc独立处理表单中0需要过滤的数据。实现这个要求的HTML表单如下所示:
<ol class="dp-xml"> <li class="alt"><span><span class="tag"><span> </span><span class="tag-name">form.</span><span> </span><span class="attribute">action</span><span>=</span><span class="attribute-value">"/receive.php"</span><span> <br></span><span class="attribute">method</span><span>=</span><span class="attribute-value">"POST"</span><span class="tag">></span><span> </span></span></span></li> <li><span class="tag"><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"hidden"</span><span> <br></span><span class="attribute">name</span><span>=</span><span class="attribute-value">"form"</span><span> </span><span class="attribute">value</span><span>=</span><span class="attribute-value">"login"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> </span><span class="tag-name">p</span><span class="tag">></span><span>Username: </span></span></li> <li><span class="tag"><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"text"</span><span> </span><span class="attribute">name</span><span>=</span><span class="attribute-value">"username"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> /p</span><span class="tag">></span><span> </span></span></li> <li><span class="tag"><span> </span><span class="tag-name">p</span><span class="tag">></span><span>Password:</span><span class="tag"><span class="tag-name">input</span><span> <br></span><span class="attribute">type</span><span>=</span><span class="attribute-value">"password"</span><span> </span><span class="attribute">name</span><span>=</span><span class="attribute-value">"password"</span><span> </span><span class="tag">/></span><span> </span></span></span></li> <li class="alt"><span class="tag"><span> /p</span><span class="tag">></span><span> </span></span></li> <li><span class="tag"><span> </span><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"submit"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> /form</span><span class="tag">></span><span> </span></span></li> </ol>
叫做$allowed的数组用来检验哪个表单变量是允许的, 这个列表在表单被处理前应当是一致的。流程控制决定要执行什么,而process.inc是真正过滤后的数据到达的地方。
注意
确保security.inc总是被包含在每个脚本的最开始的位置比较好的方法是使用auto_prepend_file设置。
PHP数据过滤的例子
建立白名单对于PHP数据过滤是非常重要的。由于不可能对每一种可能遇到的表单数据都给出例子,部分例子可以帮助你对此有一个大体的了解。
下面的代码对邮件地址进行了验证:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt">
<span>$</span><span class="attribute">email_pattern</span><span> = </span><span class="attribute-value">'<br>/^[^@s]+@([-a-z0-9]+.)<br>+[a-z]{2,}$/i'</span><span>; </span>
</li>
<li><span>if (preg_match($email_<br>pattern, $_POST['email'])) </span></li>
<li class="alt"><span>{$clean['email'] = $_POST<br>['email'];} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>
下面的PHP数据过滤代码确保了$_POST['color']的内容是red,green,或者blue:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>switch ($_POST['color'])<br>{case 'red':case 'green':case <br>'blue':$clean['color'] = <br>$_POST['color']; </span></li>
<li><span>break; </span></li>
<li class="alt"><span>} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>
下面的PHP数据过滤代码确保$_POST['num']是一个整数(integer):
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>if ($_POST['num'] == <br>strval(intval($_<br>POST['num']))){$clean<br>['num'] = $_POST['num']; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>
下面的PHP数据过滤代码确保$_POST['num']是一个浮点数(float):
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>if ($_POST['num'] == <br>strval(floatval($_POST<br>['num']))){$clean['num'] <br>= $_POST['num']; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>
PHP数据过滤的名字转换
之前每个例子都使用了数组$clean。对于开发人员判断数据是否有潜在的威胁这是一个很好的习惯。 永远不要在对数据验证后还将其保存在$_POST或者$_GET中,作为开发人员对超级全局数组中保存的数据总是应当保持充分的怀疑。
需要补充的是,使用$clean可以帮助思考还有什么没有被过滤,这更类似一个白名单的作用。可以提升安全的等级。
如果仅仅将验证过的数据保存在$clean,在数据验证上仅存的风险是你所引用的数组元素不存在,而不是未过滤的危险数据。
PHP数据过滤的时机
一旦 PHP 脚本开始执行,则意味着 HTTP 请求已经全部结束。此时,用户便没有机会向脚本发送数据。因此,没有数据可以被输入到脚本中(甚至register_globals被开启的情况下)。这就是为什么初始化变量是非常好的习惯。
php怎么设置implode没有分隔符Apr 18, 2022 pm 05:39 PM在PHP中,可以利用implode()函数的第一个参数来设置没有分隔符,该函数的第一个参数用于规定数组元素之间放置的内容,默认是空字符串,也可将第一个参数设置为空,语法为“implode(数组)”或者“implode("",数组)”。
深入探讨:Django框架是什么?Jan 19, 2024 am 09:23 AMDjango框架是一种用于Web应用程序的Python框架,它提供了一个简单而强大的方式来创建Web应用程序。事实上,Django已经成为当前最受欢迎的PythonWeb开发框架之一,也成为很多公司的首选,包括Instagram和Pinterest。本文将深入探讨Django框架是什么,包括基础概念和重要组件,以及具体代码示例。Django基础概念Djan
深入探讨Laravel中的Head请求方法Mar 06, 2024 pm 03:36 PM作为一个流行的PHP框架,Laravel提供了许多便捷的请求方法来处理不同类型的HTTP请求。其中,Head请求方法是一个比较特殊且常被忽视的方法。在本文中,我们将深入探讨Laravel中Head请求方法的作用、用法和示例代码。什么是Head请求方法?Head请求方法是HTTP协议中定义的一种请求方法,在发送Head请求时,服务器将仅返回请求头信息,而不会返
深入探讨Go语言对C语言的兼容程度Mar 07, 2024 pm 02:45 PMGo语言是一门由Google开发的编程语言,具有高效、简洁、并发性强等特点。它在语法结构、包管理、高级特性等方面都有很大的优势,因此备受程序员青睐。然而,在实际开发中,很多项目会涉及到与传统的编程语言C进行交互,因此Go语言与C语言的兼容性就显得尤为重要。首先,我们来谈谈Go语言与C语言的兼容性。在Go语言中,可以通过CGo将Go语言与C语言进行交互。CGo
深入探讨:Go语言中的单线程特性Mar 15, 2024 pm 02:09 PMGo语言作为一种现代化的编程语言,以其简洁高效的特性在近年来受到越来越多开发者的喜爱和青睐。其中一个让人独特的地方就是其单线程特性。在传统的多线程编程语言中,开发者通常需要手动管理线程之间的同步和互斥,而在Go语言中,借助其独特的协程(Goroutine)和通信机制(channel),可以方便且高效地实现并发编程。一、Goroutine与单线程:Go语言中的
深入探讨Linux中常见的特殊字符Mar 14, 2024 pm 02:54 PMLinux操作系统作为一种常用的开源操作系统,具有强大的可定制性和灵活性。在使用Linux系统时,我们经常会遇到各种特殊字符的处理。这些特殊字符在命令行中具有特殊的含义,能够实现很多高级功能。本文将深入探讨Linux中常见的特殊字符,并结合具体的代码示例来详细介绍它们的用法。通配符:通配符是用来匹配文件名的特殊字符,常见的通配符包括*、?、[]等。下面是几种
深入探讨:Golang是否适合编写驱动程序?Mar 20, 2024 am 10:09 AMGolang是一种由谷歌开发的编程语言,其出色的性能和并发特性使其在各种领域中得到了广泛的应用,包括网络编程、大数据处理等。然而,对于一些需要直接操作硬件的领域,比如驱动程序开发,人们可能会开始思考:Golang是否适合用于编写驱动程序呢?本文将深入探讨这个问题,并通过具体的代码示例来展示Golang在驱动程序开发中的应用。首先,让我们来了解一下什么是驱动程
Golang的本质是脚本语言还是编译语言?探讨Mar 19, 2024 pm 03:12 PMGolang的本质是脚本语言还是编译语言?探讨Golang,也被称为Go语言,是一种由Google开发的静态类型编程语言。自诞生以来,Golang一直备受开发者关注,其优秀的并发性能、简洁的语法和跨平台特性使其在各个领域得到广泛应用。然而,关于Golang到底是脚本语言还是编译语言,却一直存在着争议。脚本语言和编译语言在运行时的不同方式给人们留下了深刻的印象
Hot AI Tools
Undresser.AI Undress
AI-powered app for creating realistic nude photos
AI Clothes Remover
Online AI tool for removing clothes from photos.
Undress AI Tool
Undress images for free
Clothoff.io
AI clothes remover
AI Hentai Generator
Generate AI Hentai for free.
Hot Article
Hot Tools
Notepad++7.3.1
Easy-to-use and free code editor
Atom editor mac version download
The most popular open source editor
Dreamweaver Mac version
Visual web development tools
Dreamweaver CS6
Visual web development tools
DVWA
Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is very vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, to help web developers better understand the process of securing web applications, and to help teachers/students teach/learn in a classroom environment Web application security. The goal of DVWA is to practice some of the most common web vulnerabilities through a simple and straightforward interface, with varying degrees of difficulty. Please note that this software
