フィルタリングは Web アプリケーションのセキュリティの基礎です。これは、データの正当性を検証するプロセスです。すべてのデータが入力時に確実にフィルタリングされるようにすることで、汚染された (フィルタリングされていない) データがプログラム内で不信感を持たれたり悪用されたりするのを防ぐことができます。一般的な PHP アプリケーションのほとんどの脆弱性は、最終的には不適切な入力サニタイズが原因で発生します。
入力のフィルタリングとは 3 つの異なるステップを意味します:
l 入力の認識
lフィルタリングされたデータと汚染データを区別する
最初のステップとして入力を識別する理由は、それが何であるかが分からないと、正しくフィルタリングできないためです。入力とは、外部から来るすべてのデータを指します。たとえば、クライアントから送信されたものはすべて入力となりますが、外部データ ソースはクライアントだけではなく、データベースや RSS フィードなどの他のソースも外部データ ソースです。
ユーザーが入力したデータは、2 つのスーパーパブリック配列 $_GET を使用して識別するのが非常に簡単です。 ユーザー入力データを保存する $_POST 。他の入力は識別するのがはるかに困難です。たとえば、$_SERVER 配列内の多くの要素はクライアントによって操作されます。多くの場合、$_SERVER 配列のどの要素が入力を構成するかを判断するのは難しいため、配列全体を入力として扱うことが最善の方法です。
場合によっては、入力として何を与えるかは、あなたの視点によって異なります。たとえば、セッション データはサーバーに保存されますが、セッション データを外部データ ソースとして考えることはできません。このビューを保持すると、ソフトウェア内にセッション データを保存できます。セッションの場所のセキュリティはソフトウェアのセキュリティと結びついていることを認識することが賢明です。同じ考え方をデータベースに拡張することも、ソフトウェアの一部として考えることもできます。
一般的に言えば、セッションの保存場所とデータベースを入力として扱う方が安全であり、これはすべての重要な PHP アプリケーション開発において推奨されることです。
入力が認識されたら、フィルターをかけることができます。濾過はややフォーマルな用語であり、日常的な表現では検証、洗浄、浄化などの同義語が多くあります。これらの用語は若干異なりますが、違法なデータがアプリケーションに侵入するのを防ぐという同じプロセスを指します。
データをフィルタリングする方法は数多くありますが、その中にはより安全なものもあります。最良の方法は、フィルタリングを検査プロセスとして考えることです。善意で違法なデータを修正しようとしないでください。違法なデータを修正しようとすると、セキュリティ上の脆弱性が発生することがよくあります。たとえば、ディレクトリのスパニング (上位ディレクトリへのアクセス) を防止しようとする次のアプローチを考えてみましょう。
コード:
<?php $filename = str_replace('..', '.', $_POST['filename']); ?>
$filename が Linux システム ../../etc/passwd 内のユーザー パスワード ファイルへのパスになるように、$_POST['filename'] をどのように設定する必要があるか考えられますか?
答えは簡単です:
.../.../etc/passwd
この特定のエラーは、見つからなくなるまで繰り返し置き換えることができます:
コード:
<?php $filename = $_POST['filename']; while (strpos($_POST['filename'], '..') != = FALSE) { $filename = str_replace('..', '.', $filename); } ?>
もちろん、関数のベース名( ) 上記のロジックをすべて置き換えて、より安全に目的を達成できます。ただし、重要な点は、違法なデータを修正しようとすると潜在的なエラーが発生し、違法なデータが通過する可能性があるということです。確認するだけの方が安全です。
译注:这一点深有体会,在实际项目曾经遇到过这样一件事,是对一个用户注册和登录系统进行更改,客户希望用户名前后有空格就不能登录,结果修改时对用户登录程序进行了更改,用trim()函数把输入的用户名前后的空格去掉了(典型的好心办坏事),但是在注册时居然还是允许前后有空格!结果可想而知。
除了把过滤做为一个检查过程之外,你还可以在可能时用白名单方法。它是指你需要假定你正在检查的数据是非法的,除非你能证明它是合法的。换而言之,你宁可在小心上犯错。使用这个方法,一个错误只会导致你把合法的数据当成是非法的。尽管不想犯任何错误,但这样总比把非法数据当成合法数据要安全得多。通过减轻犯错引起的损失,你可以提高你的应用的安全性。尽管这个想法在理论上是很自然的,但历史证明,这是一个很有价值的方法。
如果你能正确可靠地识别和过滤输入,你的工作就基本完成了。最后一步是使用一个命名约定或其它可以帮助你正确和可靠地区分已过滤和被污染数据的方法。我推荐一个比较简单的命名约定,因为它可以同时用在面向过程和面向对象的编程中。我用的命名约定是把所有经过滤的数据放入一个叫$clean的数据中。你需要用两个重要的步骤来防止被污染数据的注入:
l 经常初始化$clean为一个空数组。
l 加入检查及阻止来自外部数据源的变量命名为clean,
实际上,只有初始化是至关紧要的,但是养成这样一个习惯也是很好的:把所有命名为clean的变量认为是你的已过滤数据数组。这一步骤合理地保证了$clean中只包括你有意保存进去的数据,你所要负责的只是不在$clean存在被污染数据。
为了巩固这些概念,考虑下面的表单,它允许用户选择三种颜色中的一种;
CODE:
<form action="process.php" method="POST"> Please select a color: <select name="color"> <option value="red">red</option> <option value="green">green</option> <option value="blue">blue</option> </select> <input type="submit" /> </form>
在处理这个表单的编程逻辑中,非常容易犯的错误是认为只能提交三个选择中的一个。在第二章中你将学到,客户端能提交任何数据作为$_POST['color']的值。为了正确地过滤数据,你需要用一个switch语句来进行:
CODE:
<?php $clean = array( ); switch($_POST['color']) { case 'red': case 'green': case 'blue': $clean['color'] = $_POST['color']; break; } ?>
本例中首先初始化了$clean为空数组以防止包含被污染的数据。一旦证明$_POST['color']是red, green, 或blue中的一个时,就会保存到$clean['color']变量中。因此,可以确信$clean['color']变量是合法的,从而在代码的其它部分使用它。当然,你还可以在switch结构中加入一个default分支以处理非法数据的情况。一种可能是再次显示表单并提示错误。特别小心不要试图为了友好而输出被污染的数据。
上面的方法对于过滤有一组已知的合法值的数据很有效,但是对于过滤有一组已知合法字符组成的数据时就没有什么帮助。例如,你可能需要一个用户名只能由字母及数字组成:
CODE:
<?php $clean = array( ); if (ctype_alnum($_POST['username'])) { $clean['username'] = $_POST['username']; } ?>
尽管在这种情况下可以用正则表达式,但使用PHP内置函数是更完美的。这些函数包含错误的可能性要比你自已写的代码出错的可能性要低得多,而且在过滤逻辑中的一个错误几乎就意味着一个安全漏洞。
以上就是PHP安全-过滤输入的内容,更多相关内容请关注PHP中文网(www.php.cn)!