PHP 4.2 を使用した安全なスクリプトの作成

原著: Kevin Yank 転載元: www.linuxforum.net (再び開設おめでとうございます)

長い間、サーバーサイド スクリプト言語としての PHP の最大のセールス ポイントの 1 つは、フォームから送信された値を自動的に更新するグローバル変数を作成します。 PHP 4.1 では、PHP の作成者は、送信されたデータにアクセスするための代替手段を推奨しました。 PHP 4.2 では、その古い慣習が廃止されました。この記事で説明するように、このような変更を行う目的はセキュリティ上の理由です。 PHP がフォーム送信やその他のデータを処理する新しい方法を見て、そうすることでコードの安全性が高まる理由を説明します。

ここで何が問題ですか?

次の PHP スクリプトを見てください。これは、入力されたユーザー名とパスワードが正しい場合に Web ページへのアクセスを承認するために使用されます:
// ユーザー名とパスワードを確認してください
if ($username == 'kevin' および $password == 'secret')
$authorized = true
?>

ユーザー名とパスワードを入力してください:

ユーザー名:

パスワード: < ;input type="password" name="password" />

>

読者は軽蔑の目で「そんなバカなこと、私ならそんな間違いはしないよ！」と言うだろうが、「大丈夫、私も同じように書くよ！」と思う読者もたくさんいるだろう。この質問 (「PHP とは何ですか?」) に混乱する人も少なくないでしょう。 PHP は、初心者が短期間で使い方を習得できる「優れた簡単な」スクリプト言語となるように設計されており、初心者が上記の間違いを犯すことも防ぐことができます。
前の質問に戻りますが、上記のコードの問題は、正しいユーザー名とパスワードを入力しなくても簡単にアクセスできることです。ブラウザのアドレスバーの最後に ?authorized=1 を追加するだけです。 PHP はフォームの送信、URL クエリ文字列、Cookie など、送信された値ごとに変数を自動的に作成するため、$authorized が 1 に設定され、権限のないユーザーがセキュリティ制限を超える可能性があります。
それでは、この問題を簡単に解決するにはどうすればよいでしょうか?プログラムの先頭で $authorized をデフォルトで false に設定するだけです。この問題はもう存在しません。 $authorized は完全にプログラム コード内で作成される変数ですが、なぜ開発者は悪意のあるユーザーが送信したすべての変数について心配する必要があるのでしょうか。

PHP 4.2 ではどのような変更が加えられましたか?

PHP 4.2 では、新しくインストールされた PHP の register_globals オプションがデフォルトでオフになっているため、EGPCS 値 (EGPCS は、Environment、Get、Post、Cookies、Server の略称です。これが外部変数のソースです) PHP フルスコープでは) はグローバル変数として作成されません。もちろん、このオプションは手動でオンにすることもできますが、PHP 開発者はオフにすることをお勧めします。その意図を実装するには、他のメソッドを使用してこれらの値を取得する必要があります。
PHP 4.1 以降、EGPCS 値は指定された配列セットから取得できます。
$_ENV -- システム環境変数が含まれます。
$_GET -- クエリ文字列内の変数と送信メソッドが含まれます。 GET フォーム内の変数
$_POST -- POST として送信されたフォーム内の変数が含まれます
$_COOKIE -- すべての Cookie 変数が含まれます
$_SERVER -- HTTP_USER_AGENT などのサーバー変数が含まれます
$_REQUEST -- $_GET、$_POST、および $_COOKIE の内容全体が含まれます
$_SESSION -- 登録されたすべてのセッション変数が含まれます
PHP 4.1 より前、開発者が register_globals オプションをオフにしたとき (これは ( PHP のパフォーマンスを向上させる方法)、これらの変数を取得するには $HTTP_GET_VARS のような厄介な名前を使用する必要があります。これらの新しい変数名は短いだけでなく、他の利点もあります。
まず、上記のコードを PHP 4.2 で書き直してみましょう (register_globals オプションをオフにすることを意味します)。
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];

// ユーザー名とパスワードを確認します
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>

ユーザー名とパスワード:

ユーザー名 :
パスワード:

;

ご覧のとおり、コードの先頭に次の 2 行を追加するだけです。 '];
$password = $_REQUEST['password'];
ユーザー名とパスワードをユーザーが送信する必要があるため、これらの値は $_REQUEST 配列から取得します。この配列を使用すると、ユーザーは配信方法を自由に選択できます。URL クエリ文字列 (たとえば、ブックマークの作成時にユーザーが資格情報を自動的に入力できるようにする)、フォーム送信、または Cookie を使用します。証明書の送信をフォーム経由 (より正確には HTTP POST リクエスト経由) のみに制限したい場合は、$_POST 配列を使用できます。
$username = $_POST['username'];
$password = $ _POST['password'];
これら 2 つの変数を「導入」すること以外は、プログラム コードに変更はありません。 register_globals オプションをオフにするだけで、開発者はどのデータが外部 (信頼できない) ソースからのものかをよりよく理解できるようになります。
ここには小さな問題があることに注意してください。PHP のデフォルトの error_reporting 設定はまだ E_ALL & ~E_NOTICE なので、「ユーザー名」と「パスワード」の 2 つの値が送信されていない場合、 $_REQUEST 配列または $_POST から値を取得します。配列内のこれら 2 つの値を取得しても、エラー メッセージは発生しません。 PHP プログラムで厳密なエラー チェックが必要な場合は、最初にこれらの変数をチェックするためのコードを追加する必要もあります。

しかし、これはより多くのインプットを意味するのでしょうか?

はい、上記のような単純なプログラムでは、PHP 4.2 を使用すると入力量が多くなることがよくあります。しかし、明るい面も見てみましょう。結局のところ、プログラムはより安全です。
しかし真面目な話、PHP の設計者はあなたの痛みを完全に無視していたわけではありません。これらの新しい配列には、他の PHP 変数にはない特別な機能があり、完全なグローバル変数です。これはどのように役立ちますか?まず例を拡張してみましょう。
サイト内の複数のページでユーザー名/パスワード引数を使用できるようにするには、ユーザー認証プログラムをインクルード ファイル (protectme.php) に書き込みます。
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// ユーザー名を確認します。およびパスワード
if ($username != $authuser または $password != $authpass):
?>

非常にシンプルでわかりやすいですね。さあ、あなたの視力と経験をテストしてみましょう。authorize_user 関数に何が足りないでしょうか?
$_POST が関数内でグローバル変数として宣言されていません! PHP 4.0 では、 register_globals がオンになっている場合、関数内で $username 変数と $password 変数を取得するコード行を追加する必要があります:
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
PHP では、同様の構文を持つ他の言語とは異なり、関数の外にある変数を関数内で自動的に使用できるようにするための行を追加する必要があります。それらはグローバルな範囲から来ています。
PHP 4.0 では、セキュリティを提供するために register_globals がオフになっている場合、$HTTP_POST_VARS 配列を使用してフォームによって送信された値を取得できますが、この配列をグローバル スコープからインポートする必要があります。
function authorize_user($ authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['password']; >しかし、PHP バージョン 4.1 以降では、特別な $_POST 変数 (および上記のその他の変数) がすべてのスコープで使用できます。これが、関数内で $_POST 変数をグローバル変数として宣言する必要がない理由です。
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'] ;
$password = $_POST['password'];

これはセッションにどのような影響を与えますか?

特別な $_SESSION 配列の導入は、実際にセッション コードを簡素化するのに役立ちます。セッション変数をグローバル変数として宣言し、どの変数が登録されているかを追跡する代わりに、$_SESSION['varname'] からすべてのセッション変数を簡単に参照できるようになりました。
次に、ユーザー認証の別の例を見てみましょう。今回は、セッションを使用して、サイトに滞在し続けるユーザーが認証されたことを示します。まず、PHP バージョン 4.0 (register_globals を有効にする) を見てみましょう:
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true;
session_register('authorized');
?>
🎜 >

;

最初のプログラムと同様に、このプログラムにもセキュリティ上の脆弱性があり、URL の末尾に ?authorized=1 を追加すると、セキュリティ対策を回避してページのコンテンツに直接アクセスできます。 。開発者は $authorized をセッション変数として扱い、同じ変数がユーザー入力を通じて簡単に設定できることを無視できます。
特別な配列 (PHP 4.1) を追加し、 register_globals (PHP 4.2) をオフにすると、プログラムは次のようになります。
session_start(); == 'kevin' と $password == 'secret')
$_SESSION['authorized'] = true;


HTML コンテンツ -->
通常の変数をセッション変数として登録する必要はなくなり、セッション変数を直接 ($_SESSION 配列内で) 設定し、同じ方法で使用するだけで済みます。プログラムが短くなり、どの変数がセッション変数であるかについて混乱が少なくなります。

概要

この記事では、PHP スクリプト言語の変更の根本的な理由について説明しました。 PHP 4.1 では、外部データにアクセスするために特別なデータ セットが追加されました。これらの配列は任意のスコープで呼び出すことができるため、外部データへのアクセスがより便利になります。 PHP 4.2 では、これらの配列の使用を奨励して、経験の浅い開発者が安全でない PHP コードを作成することを防ぐために、 register_globals はデフォルトでオフになっています。