編寫PHP的安全策略_PHP教程
- WBOY原創
- 2016-07-21 16:08:08950瀏覽
PHP最初是被称作Personal Home Page,后来随着PHP成为一种非常流行的脚本语言,名称也随之改变了,叫做Professional HyperText PreProcessor。以PHP4.2为例支持它的WEB服务器有:Apache, Microsoft Internet information Sereve, Microsoft Personal web Server,AOLserver,Netscape Enterprise 等等。
PHP是一种功能强大的语言和解释器,无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的,都能访问文件、执行命令或者在服务器上打开链接。而这些特性都使得PHP运行时带来安全问题。虽然PH P是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言,但正确使用编译时和运行中的一些配置选项以及恰当的应用编码将会保证其运行的安全性。
一、安全从开始编译PHP开始。
在编译PHP之前,首先确保操作系统的版本是最新的,必要的补丁程序必须安装过。另外使用编译的PHP也应当是最新的版本,关于PHP的安全漏洞也常有发现,请使用最新版本,如果已经安装过PHP请升级为最新版本:4.2.3
相关链接:http://security.e-matters.de/advisories/012002.html
安装编译PHP过程中要注意的3个问题:
1、只容许CGI文件从特定的目录下执行:首先把处理CGI脚本的默认句柄删除,然后在要执行CGI脚本的目录在http.conf 文件中加入ScriptAlias指令。
#Addhadler cgi-script .cgi
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
AllowOverride None
Options None
Order allow,deny
Allow from all
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
SriptAlias的第一个参数指明在Web中的可用相对路径,第二个参数指明脚本放在服务器的目录。应该对每个目录
别名都用Directory,这样可使得除系统管理员之外的人不知道Web服务器上CGI脚本的清单。
Directory允许用户创建自己的CGI脚本。也可用SriptAliasMatch,但Directory更容易使用。 允许用户创建自己
CGI脚本可能会导致安全问题,你可能不希望用户创建自己的CGI。 Apache默认配置是注释掉cgi—script的处理句柄,但有/cgi-bin目录使用SriptAlias和Directory指令。 你也可禁止CGI执行,但仍允许执行PHP脚本。
2.把PHP解析器放在web目录外
把PHP解析器放在Web目录树外是非常重要的做法。这样可以防止web服务器对PHP的解析器的滥用。特别是
不要把PHP解析器放在cgi-bin或允许执行CGI程序的目录下。然而,使用Action解析脚本是不可能的,因为用Action指令时,PHP解析器大多数要放在能够执行CGI的目录下只有当PHP脚本作为CGI程序执行时,才能把PHP解析器放在Web目录树之外。
如果希望PHP脚本作为CGI程序执行(这们可以把PHP解析器放在Web目录树之外),可以这样:
( 1)所有的PHP脚本必须位于能执行CGI程序的目录里。
( 2)脚本必须是可执行的(仅在UNIX/Linux机器里)。
(3)脚本必须在文件头包括PHP解析器的路径。
你可用下面命令使PHP脚本为可执行:
#chmod +x test.php4
这样使在当前目录下的文件名为test.PhP4的脚本变为可执行。 下面是一个能作为CGI程序运行的PHP脚的小例子。
#!/usr/local/bin/php
echo "This is a my small cgi program”
3. 按Apache模块方式安装:
当将PHP作为Apache模块使用时,它将继承Apche的用户权限(一般情况下用户为“nobody”)。这一点对于安全性和
验证有不少影响。例如,使用PHP访问数据库,除非数据库支持内建的访问控制,将不得不设置数据库对于用户“nobody”
的可访问权限。这将意味着恶意的脚本在没有访问用户名和密码,也能访问并修改数据库。通过Apache验证来保护数据不被暴露,或者也可使用LDAP、.htaccess文件等设计自己的访问控制模型,并在PHP脚本中将此代码作为其中部分引入。 通常,一旦安全性建立,此处PHP用户(此情形即Apache用户)就风险大大降低了,会发现PHP护现在已被封禁了将可能的染毒文件写入用户目录的能力。 此处最常犯的安全性错误是赋予Apache服务器根(root)权限。 将Apache用户权限提升到根权限是极端危险的。可能会危及整个系统,因此要小心使用sudo,chroot安全隐患大的命令等。除非你对安全有绝对的掌握,否则不要让其以ROOT权限运行。
二、让PHP的使用更安全。
1、以安全模式运行PHP
以安全模式运行PHP是使PHP脚本安全使用的好方法,特别是在允许用户使用自己开发的PHP脚本时。使用安全模式会使PHP在运行函数时检查是否存在安全问题。 include、readfile、fopen、file、unlink、rmdir等等:被包含的文件或者该文件所在目录的所有者必须是正在运行的脚本的所有者; Exec、System、Passthm等等:要执行的程序必须位于特定的目录(默认为/usr/local/php/bin)。编译PHP时可以用—with-exe-dir选项设定这个值。
Mysql—Connect:这个函数用可选的用户名连接MySQL数据库。在安全模式下,用户名必须是当前被执行的脚本的所有者,或运行httpd的用户名(通常是nobody)。
HTTP Authentication:包含HTTP验证代码脚本所有者的用户ID(数字型)会自动加到验证域。这样可以防止有人通过抓取密码的程序来欺骗同一个服务器上的HTTP验证脚本。
2、使用 用户识别和验证
有时需要唯一地确认一个用户。用户通常由请求和响应系统确认。用户名/口令组合就是这种系统的一个很好的例子,比如系统要求给出A1i的口令,响应的是Ali的口令。这样验证是因为只有Ali才知道这个口令。
(1)服务器端用户验征
这是用于服务端上对PHP程序要求最小的验证方法。只要让Apache来管理对用户的验证就行了。
AuthName "Secret page" # The realm
AuthType Basic
# The password file has been placed outside the web tree
AuthUserFile /home/car2002/website.pw
require valid-user
你需要把上述文件(文件名为.htaccess)放在需要保护的地方。用Apache的htpasswd程序,可以建立包含用户名和口令组合的文件。把这个文件放在Web目录树之外,只让该文件的拥有者查看和修改这个文件。当然,Web服务器必须能够读取这个文件。
如果想读取被保护的目录,Web服务器要求浏览器提供用户名和密码。浏览器弹出对话框,用户可以输入他们的用户名和密码。如果用户名和密码与口令文件中相符合,就允许用户读取被保护的页面;反之,将得到错误页面,告诉用户没有通过验证。被保护的域会显示出来以便用户知道输入那个用户名和密码。
(2)在PHP中进行用户识别和验证
和在Apache服务器端进行用户识别和验证相比,在PHP进行用户识别和验证有以下优点:
A、可注销。
B、可失效。如用户登录后40分钟没有浏览你的网站,你可强制他们重新通过验证。
C、可定制。
D、可基于数据库。你可以用保存在各种各样的数据库里的数据来验证用户,并且记录访问者访问网站的详细日志。
E、可用于每个页面。你可在每个页面上决定是否需要验证。
F、你也可以使浏览器弹出对话框。下面的例子显示了怎样从,MySQL数据库中检索用名和口令:让用户填人用户名和口令。
if(!isset($PHP_AUTH_USER)) {
Header("WWW-authenticate: basic realm=\"restricted area\"");
Header( "HTTP/I.0 401 Unauthorized");
echo "You failed to provide the correct password...\n";
exit;
} else {
mysql_select_db("users") ;
$user_id = strtolower($PHP^AUTH_USER);
$result = mysql_query("SELECT password FROM users " .
"WHERE username = '$username'") ;
$row = mysql_fetch_array($result) ;
if ($PHP_AUTH_PW != $row["password"]) {
Header( "WWW-authenticate: basic realm=\"restricted area\"
Header( "HTTP/I.0 401 Unauthorized");
echo "You failed to provide the correct password...\n" ;
exit;
}
}
?>
Only users with a working username/password combination can see this
(3) 检测IP地址
一般人们普遍认为一个IP地址唯一地确定一个访问者。但实际上并不是这样的。代理服务器可用相同的IP地址发送不同用户的请求。另外IP地址的盗用也普遍存在。检测 IP地址有它们的用处,但相当有限。例如你是一个论坛版主,你发现某个用户粘贴一些不健康的、违法的内容。你可以找到他的IP地址,把从这个IP连进来的用户逐出论坛。使用下面一行命令将会得到某个特定请求的源IP地址:
# ip = $REMOTE_ADDR
4、使用PHP加密技术
在PHP中,加密技术主要用来加密信息、产生校验和和摘要。使用加密技术可大大地增强安全性能。 这里只讲述使用加密技术的一些概念。如果你想进一步了解,应参考一些好的加密技术资料。加密技术的标准是Bmce Schneier的应用加密技术,非常值得一读。他的网站(www.counterpane.com/labs.html )是在互联网上查找加密技术资料的好起点。数据加密是一个非常复杂的话题,这里只简单介绍一下。
PHP中大多数的加密函数由mcrypt库和mhash库提供。你需要在系统中装上这两个库,在编译时加上--ith-mcrypt和--ith-hash选项。PHP从 3.013版本开始支持mcrypt库。
5、使用具有SSL技术
SSI是英文Server Side Includes的缩写。使用具有SSL(安全套接字协议层)功能的web服务器,可以不用改变一行代码而提高网站的安全性能。SSI使用加密方法来保护web服务器和浏览器之间的信息流。SSL不仅用于加密在互联网上传递的数据流,而且还提供双方身份验证。这样,你就可以安全地在线购物而不必担心别人矢随你的信用卡的信息。这种特性使得SSL适用于那些交换重要信息的地方,像电子商务和基于Web的邮件。
SSL使用公共密钥加密技术,服务器在连接结束时给客户端发送公用密钥用来加密信息,而加密的信息只有服务器用它自己持有的专用密钥才能解开。客户端用公用密钥加密数据,并且发送给服务端自己的密钥,以唯一确定自己,防止在系统两端之间有人冒充服务端或客户端进行欺骗。
加密的HTTP连接用443端口号代替80端口号,以区别于普通的不加密的HTTP。客户端使用加密HTTP连接时会自动使用443端口而不是80端口。这使得服务端更容易作出相应的响应。
在Apache服务器下,可以通过直接编辑服务器配置文件或者在需要使用SSI的目录中创建.htaccess文件来启动SSI。登录到服务器,找到配置文件的存放目录,使用文字编辑器打开文件srm.conf,找到以下几行:
# If you want to use server side includes, or CGI outside
# ScriptAliased directories, uncomment the following lines.
#AddType text/x-server-parsed-html .shtml
#AddType application/x-httpd-CGI .CGI
将以AddType开头的两行并且去掉每一行最前面的"#"符号即可。保存所做的修改,然后再打开文件access.conf。
<Directory /usr/local/etc/httpd/htdocs>
# This may also be "None", "All", or any combination of "Indexes",
# "Includes", or "FollowSymLinks"
Options Indexes FollowSymLinks
</Directory>
将其中的Options Indexes FollowSymLinks改为:Options Indexes FollowSymLinks Includes 即可。
6、使用Apache的suEXEC机制
通常CGI程序或PHP脚本只能以启动web服务器的用户权限来运行(通常为www或nobody),这样会出现的情况之一是可以读写和修改由另一个用户的CGI和PHP脚本生成的文件(如脚本和密码文件)。也可能使用户可以连接到其他用户的数据库,但这与数据库的配置有关。如MySQL的默认配置便是允许的,但可以通过强制数据库进行口令验证来弥补此不足。PHP的safe—mode减少了这些问题,但所有的脚本仍然以相同的用户标识运行。Apache可以解决这个问题。suEXEC(在执行前改变用户标识)是一个小工具,允许以任意用户标识运行CGI程序,当然也包括PHP脚本,但根用户除外。而且可以和UseDir和VirtualHost项一起使用。
所以suEXEC也叫CGI封装。这意味着在脚本运行之前它需要通过一系列规定的安全检查。随Apache2。0版发布的suEXEC有26个检查点。suEXEC能解决一些安全问题,同时允许用户开发和更安全地执行自己的脚本。但是suEXEC会降低服务性能,因为suEXEC只能运行在CGI版本的PHP上,而CGI版本比模块版本运行速度慢。原因是模块版本使用了线程,而使用CGI版本的是进程。在不同线程之间的环境转换和访问公用的存储区域显然要比在不同的进程之间要快得多。使用suEXEC的另外一个问题是它增加了编写和使用PHP脚本的难度。你要确保脚本能通过suEXEC的检验。否则,你的脚本不会被执行。我们建议在你对安全性能要求比较高时使用suEXEC ,为此你还要以牺牲速度为代价。
7、创建安全的PHP脚本
有許多程式技巧使PHP腳本更安全地運作。其中最重要的一條是使用一些安全常識。運行PHP比運行CGI腳本更安全,但它仍然有許多錯誤的地方。轉換到安全運作模式能夠限制出錯所產生的結果。如果你的PHP腳本中有錯誤,可能會被人找到並利用它來破壞網站甚至資料庫。所以經常備份也是必要的。
(1)安全設定軟體
基於Web的應用程序,如線上目錄,通常都在無人密切監視的情況下運行。如果發生錯誤時,你不可能立即採取行動。通常訪客最先註意到所發生的問題,你應該使他們很容易地報告所發生的問題。更進一步,可以由構成這個網站的腳本來追蹤這些問題。例如,你的訪客可能會做一些你想不到的事情。也可能你對於重要函數所回傳值沒有檢查,腳本可能會以不可預測的方式運作。
寫出更安全的程序,就可以避免這些問題。例如你應該檢查資料庫函數的回傳值,如果資料庫崩潰,顯示給使用者的應該是出錯的資訊頁面而不是滿螢幕的錯誤。你甚至可以讓腳本在發生嚴重問題,例如資料庫崩潰、硬碟空間已滿的時候自動通知你。你也應該檢查從用戶傳來的所有數據。顯然後者更重要。 如果你的程式能夠應付各種錯誤,那麼你的程式不僅更可靠,而且可以花更少的時間來維護。這些時間可大大彌補你在開發程式時所花的額外時間。
(2)儲存和交換敏感資訊
顯然,你應盡量避免在網路上以GET、POST、cookie或URL編碼的形式傳遞敏感訊息,這樣使訊息很容易被竊取。使用支援SSL的web伺服器能夠做到這一點,因為它加密網站和訪客瀏覽器之間所有的資訊流。
如果你沒有支援SSL的Web伺服器,那你需要其他的方法。例如沒有必要總是發送資料到瀏覽器;把資料保存在資料庫中,只向瀏覽器發送關鍵字,這樣也很容易查找到所需要的資料;並以加密的形式發送所有的資料等等。實現這種功能的最簡單的方法是使用Session。 PHP4支援本地化的Session功能,PHP3則要使用PHPMB函式庫。
HTTP 協議是一種無狀態協議,它不負責為好連接的狀態信息,因此無法跟踪客戶端的各種信息,Session的出現改變這一狀況。當使用者瀏覽支援Session功能的CGI腳本時,在他離開這個網頁前可以將使用者資訊保存在同意Session ID之下,也就是可以在不同的網頁之間偕同存取使用者資訊。
如果不使用PHP的安全模式或在suEXEC下以CGI方式運行PHP,那麼監視你的檔案的內容就不可能實現。此時唯一防止別人讀取資料的方法是盡快把資料保存到資料庫中。
(3)檢查使用者輸入
Per1語言有個特性叫污點偵測(taint checking)。當污點偵測生效時,即使沒有發生重大錯誤,你也不能執行含有可疑變數的函數。一個變量,當它的值是用戶提供數據的一部分或全部時就變成可疑的了,因為這些數據被認為是不安全的。這樣可提高系統安性。 PHP沒有這個特性,但PHP有escapeshellcmd函數,可以達到相同的效果。另一個不讓使用者濫用腳本的方法是只允許使用經過嚴格檢查的輸入。
(4)使用最新的PHP版本4.2.xx
在很長一段時間內,PHP作為伺服器端腳本語言的最大賣點之一就是會為從表單提交的值會自動建立一個全域變數。在PHP 4.1中,PHP的製作者們推薦了一個存取提交資料的替代手段。在PHP 4.2中,他們取消了那種老的做法。在PHP 4.1中,新增了一組特殊資料以存取外部資料。這些數組可以在任何範圍內調用,這使得外部資料的存取更方便。在PHP 4.2中,register_globals被預設關閉以鼓勵使用這些陣列以避免無經驗的開發者編寫出不安全的PHP程式碼。作出這樣的變化是出於安全性的考慮的。
三、總結
徹底安全的系統從理論上不可能,因此我們所指安全性只是在代價與可用性間作平衡。若是使用者提交的每一個變數都要求有生物學驗證(如指紋鑑定),則將獲得極高水平的可靠性。但也會造成用戶填寫一張表格就要幾十分鐘。這時用戶就會採取繞過安全驗證的方法。一個系統的可靠性只能由整個鏈條中最薄弱的環節來決定。在任何安全系統裡面,人是最脆弱的連接,單單技術本身不能讓系統安全。
PHP 還處在不斷發展的過程中,你需要經常關注他的安全資訊。這裡筆者推薦你經常專注於安全焦點(www.security-focus.com )和Packetstorm(www.packetstorm.com )。