PHP_PHP チュートリアルを使用して安全なスクリプト コードを作成する

PHP 4.2 では、その古い慣習が廃止されました。この記事で説明するように、このような変更を行う目的はセキュリティ上の理由です。 PHP がフォーム送信やその他のデータを処理する新しい方法を見て、そうすることでコードの安全性が高まる理由を説明します。

ここで何が問題ですか?

次の PHP スクリプトを見てください。これは、入力されたユーザー名とパスワードが正しい場合に Web ページへのアクセスを承認するために使用されます:

コードをコピーします コードは次のとおりです:

// ユーザー名とパスワードを確認します
if ($username == 'kevin' and $password == 'secret')
$authorized = true
?>
;

ユーザー名とパスワードを入力してください:

ユーザー名:

パスワード:


- セキュリティ要件を伴う HTML コンテンツ -->



OK、読者の約半数は軽蔑しながらこう言うでしょう。「そんな間違いは犯さない」 ！」 しかし、「大丈夫、私もこれを書きます！」と思う読者がたくさんいることは保証します。 もちろん、この質問に混乱する人も少数はいるでしょう（「PHP とは何ですか？」）。 ）。 PHP は、初心者が短期間で使い方を習得できる「優れた簡単な」スクリプト言語となるように設計されており、初心者が上記の間違いを犯すことも防ぐことができます。

前の質問に戻りますが、上記のコードの問題は、正しいユーザー名とパスワードを入力しなくても簡単にアクセスできることです。ブラウザのアドレスバーの最後に ?authorized=1 を追加するだけです。 PHP はフォームの送信、URL クエリ文字列、Cookie など、送信された値ごとに変数を自動的に作成するため、$authorized が 1 に設定され、権限のないユーザーがセキュリティ制限を超える可能性があります。
それでは、この問題を簡単に解決するにはどうすればよいでしょうか?プログラムの先頭で $authorized をデフォルトで false に設定するだけです。この問題はもう存在しません。 $authorized は完全にプログラム コード内で作成される変数ですが、なぜ開発者は悪意のあるユーザーが送信したすべての変数について心配する必要があるのでしょうか。

PHP 4.2 ではどのような変更が加えられましたか?

PHP 4.2 では、新しい PHP インストールの register_globals オプションはデフォルトでオフになっているため、EGPCS 値 (EGPCS は、Environment、Get、Post、Cookies、Server の略語です。これは、PHP の外部変数ソースの全範囲です)はグローバル変数として作成されません。もちろん、このオプションは手動でオンにすることもできますが、PHP 開発者はオフにすることをお勧めします。その意図を実装するには、他のメソッドを使用してこれらの値を取得する必要があります。
PHP 4.1 以降、EGPCS 値は指定された配列のセットから取得できます:
$_ENV -- システム環境変数が含まれます
$_GET -- クエリ文字列および GET メソッドで送信されたフォーム内の変数が含まれます 変数
$_POST -- POST として送信されたフォームの変数が含まれます
$_COOKIE -- すべての Cookie 変数が含まれます
$_SERVER -- HTTP_USER_AGENT などのサーバー変数が含まれます
$_REQUEST -- $_GET、$_POST、$_COOKIE が含まれます
$_SESSION -- 登録されているすべてのセッション変数が含まれます
PHP 4.1 より前、開発者が register_globals オプション (これは PHP のパフォーマンスを向上させる方法とも考えられていました) をオフにしたとき、これらの変数を取得するには $HTTP_GET_VARS のような迷惑な名前を使用する必要がありました。これらの新しい変数名は短いだけでなく、他の利点もあります。
まず、上記のコードを PHP 4.2 で書き直してみましょう (つまり、 register_globals オプションをオフにします):

コードをコピーします コードは次のとおりです:

$username = $_REQUEST['username'];
$password = $_REQUEST['password'];

// ユーザー名とパスワードを確認します
if ($username == 'kevin' and $パスワード == '秘密')
$authorized = true;
許可されていないユーザーはここでプロンプトが表示されます -> ;p>ユーザー名とパスワードを入力してください:

ユーザー名:

パスワード:

ご覧のとおり、コードの先頭に次の 2 行を追加するだけです:
$username = $_REQUEST['username'];
$password = $_REQUEST['password ']; ;

ユーザー名とパスワードをユーザーに送信してもらいたいため、これらの値を $_REQUEST 配列から取得します。この配列を使用すると、ユーザーは配信方法を自由に選択できます。URL クエリ文字列 (たとえば、ブックマークの作成時にユーザーが資格情報を自動的に入力できるようにする)、フォーム送信、または Cookie を使用します。証明書の送信をフォーム経由 (より正確には HTTP POST リクエスト経由) のみに制限したい場合は、$_POST 配列を使用できます。
$username = $_POST['username'];
$password = $_POST[ 'password '];
これら 2 つの変数を「導入する」ことを除いて、プログラム コードに変更はありません。 register_globals オプションをオフにするだけで、開発者はどのデータが外部 (信頼できない) ソースからのものかをよりよく理解できるようになります。
ここには別の小さな問題があることに注意してください。PHP のデフォルトの error_reporting 設定は依然として E_ALL および ~E_NOTICE であるため、「ユーザー名」と「パスワード」の 2 つの値が送信されていない場合は、それらを取得してみてください。 $_REQUEST 配列または $_POST 配列からこれら 2 つの値を取得しても、エラー メッセージは発生しません。 PHP プログラムで厳密なエラー チェックが必要な場合は、最初にこれらの変数をチェックするためのコードを追加する必要もあります。

しかし、これはより多くのインプットを意味するのでしょうか?

はい、上記のような単純なプログラムでは、PHP 4.2 を使用すると、入力の量が増えることがよくあります。しかし、明るい面も見てみましょう - 結局のところ、プログラムはより安全です。
しかし真面目な話、PHP の設計者はあなたの痛みを完全に無視していたわけではありません。これらの新しい配列には、他の PHP 変数にはない特別な機能があり、完全なグローバル変数です。これはどのように役に立ちますか?まず例を詳しく見てみましょう。
サイト内の複数のページでユーザー名/パスワード引数を使用できるようにするには、ユーザー認証プログラムをインクルード ファイル (protectme.php) に書き込みます:



コードをコピーします

コードは次のとおりです: < ;?php /*protectme.php */ function authorize_user($authuser, $authpass)

{

$username = $_POST['username']
$password = $_POST['password']; / ユーザー名とパスワードを確認してください
if ($username != $authuser または $password != $authpass):
を入力してくださいユーザー名とパスワード:

ユーザー名:

パスワード:

endif;
コードをコピーします

コードは次のとおりです:
authorize_user( 「ケビン」、「秘密」

;
とてもシンプルで明確ですよね。ここで、自分の目と経験をテストしてみましょう。authorize_user 関数に何が欠けているのでしょうか?
$_POST は関数内でグローバル変数として宣言されていません! php 4.0 では、 register_globals がオンになっている場合、関数内で $username 変数と $password 変数を取得するコード行を追加する必要があります:
function authorize_user($authuser, $authpass)
{
global $username, $password ;
.. .
PHP では、同様の構文を持つ他の言語とは異なり、関数の外部にある変数は、グローバル スコープからのものであることを指定するために、上で説明したように行を追加する必要があります。
PHP 4.0 では、セキュリティを提供するために register_globals がオフになっている場合、$HTTP_POST_VARS 配列を使用してフォームによって送信された値を取得できますが、この配列をグローバル スコープからインポートする必要があります:
function authorize_user($ authuser, $authpass )
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
ただし、PHP 4.1 以降のバージョンでは、特別な $_POST 変数が使用されます。 (および上記の他の変数) はすべてのスコープで使用できます。これが、関数内で $_POST 変数をグローバル変数として宣言する必要がない理由です。
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $ _POST[' パスワード'];

これはセッションにどのような影響を与えますか?

特別な $_SESSION 配列の導入は、実際にセッション コードを簡素化するのに役立ちます。セッション変数をグローバル変数として宣言し、どの変数が登録されているかを追跡する代わりに、$_SESSION['varname'] からすべてのセッション変数を簡単に参照できるようになりました。
次に、ユーザー認証の別の例を見てみましょう。今回は、セッションを使用して、サイトに滞在し続けるユーザーが認証されたことを示します。まず、PHP バージョン 4.0 ( register_globals を有効にする) を見てみましょう。

コードをコピー コードは次のとおりです。

session_start()
if ($username == 'kevin ' および $password == 'secret')
{
$authorized = true;
?>?php if (!$authorized): ?> !-- ユーザーにログインを促す HTML フォームを表示します -->



そして、最初のプログラムと同様に、このプログラムにもセキュリティ上の脆弱性があり、URL の末尾に ?authorized=1 を追加すると、セキュリティ対策を回避してページのコンテンツに直接アクセスできます。開発者は $authorized をセッション変数として扱い、同じ変数がユーザー入力によって簡単に設定できることを無視できます。
特別な配列 (PHP 4.1) を追加し、register_globals (PHP 4.2) をオフにすると、プログラムは次のようになります:



コードをコピー

コードは次のとおりです:

session_start (); if ($username == 'kevin' および $password == 'secret') $_SESSION['authorized'] = true ?>