用PHP书写安全的脚本代码


Posted in PHP onFebruary 05, 2012

在PHP 4.2中,他们取消了那种老的做法!正如我将在这篇文章中解释的那样,作出这样的变化的目的是出于安全性的考虑。我们将研究PHP在处理表单提交及其它数据时的新的做法,并说明为什么这样做会提高代码的安全性。

这里有什么错误?

看看下面的这段PHP脚本,它用来在输入的用户名及口令正确时授权访问一个Web页面:

<?php 
// 检查用户名及口令 
if ($username == 'kevin' and $password == 'secret') 
$authorized = true; 
?> 
<?php if (!$authorized): ?> 
<!-- 未授权的用户将在这里给予提示 --> 
<p>Please enter your username and password:</p> 
<form action="<?=$PHP_SELF?>" method="POST"> 
<p>Username: <input type="text" name="username" /><br /> 
Password: <input type="password" name="password" /><br /> 
<input type="submit" /></p> 
</form> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?>

OK,我相信大约半数的读者会不屑的说“太愚蠢了-- 我不会犯这样的错误的!”但是我保证有很多的读者会想“嗨,没什么问题啊,我也会这么写的!”当然还会有少数人会对这个问题感到困惑(“什么是PHP?”)。PHP被设计为一个“好的而且容易的”脚本语言,初学者可以在很短的时间内学会使用它;它也应该能够避免初学者犯上面的错误。
再回到刚才的问题,上面的代码中存在的问题是你可以很容易地获得访问的权力,而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量 -- 不论是来自动一个提交的表单、URL查询字符串还是一个cookie -- 这会将$authorized设置为1,这样一个未授权的用户也可以突破安全限制。
那么,怎么简单地解决这个问题呢?只要在程序的开头将$authorized默认设置为false。这个问题就不存在了!$authorized是一个完全在程序代码中创建的变量;但是为什么开发者得为每一个恶意的用户提交的变量担心呢?

PHP 4.2作了什么改变?

在PHP 4.2中,新安装的PHP中的register_globals选项默认为关闭,因此EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中外部变量来源的全部范围)不会被作为全局变量来创建。当然,这个选项还可以通过手工来开启,但是PHP的开发者推荐你将其关闭。要贯彻他们的意图,你需要使用其它的方法来获取这些值。
从PHP 4.1开始,EGPCS值就可以从一组指定的数组中获得:
$_ENV -- 包含系统环境变量
$_GET -- 包含查询字符串中的变量,以及提交方法为GET的表单中的变量
$_POST -- 包含提交方式为POST的表单中的变量
$_COOKIE -- 包含所有cookie变量
$_SERVER -- 包含服务器变量,例如HTTP_USER_AGENT
$_REQUEST -- 包含$_GET、$_POST和$_COOKIE的全部内容
$_SESSION -- 包含所有已注册的session变量
在PHP 4.1之前,当开发者关闭register_globals选项(这也被考虑为提高PHP性能的一种方法)后,必须使用诸如$HTTP_GET_VARS这样的令人讨厌的名字来获取这些变量。这些新的变量名不仅仅短,而且它们还有其他优点。
首先,让我们在PHP 4.2中(也就是说关闭register_globals 选项)重写上面提到的代码:

<?php 
$username = $_REQUEST['username']; 
$password = $_REQUEST['password']; // 检查用户名和口令 
if ($username == 'kevin' and $password == 'secret') 
$authorized = true; 
?> 
<?php if (!$authorized): ?> 
<!-- 未授权的用户将在这里给予提示 --> 
<p>Please enter your username and password:</p> 
<form action="<?=$PHP_SELF?>" method="POST"> 
<p>Username: <input type="text" name="username" /><br /> 
Password: <input type="password" name="password" /><br /> 
<input type="submit" /></p> 
</form> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?>

正如你看到的,我所需要做的只是在代码的开始增加下面两行:
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
因为我们希望用户名和密码是由用户提交的,所以我们从$_REQUEST数组中获取这些值。使用这个数组使得用户可以自由选择传递方式:通过URL查询字符串(例如允许用户创建书签时自动输入他们的证书)、通过一个提交的表单或者是通过一个cookie。如果你想要限制只能通过表单提交证书(更精确地说,是通过HTTP POST请求),你可以使用$_POST数组:
$username = $_POST['username'];
$password = $_POST['password'];
除了“引入”这两个变量以外,程序代码没有任何改变。简单地关闭register_globals选项促使开发者更进一步了解哪些数据是来自外部的(不可信任的)资源。
请注意这里还有一个小问题:PHP中默认的error_reporting设置仍然是E_ALL & ~E_NOTICE,因此如果“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中获得这两个值并不会招致任何错误信息。如晨不你的PHP程序需要严格的错误检查,你还需要增加一些代码以首先检查这些变量。

但是这是不是意味着更多的输入?

是的,在象上面这样的简单程序中,使用PHP 4.2常常会增加输入量。但是,还是看看光明的一面吧 -- 你的程序终究是更安全了!
不过认真的说,PHP的设计者并没有完全忽视你的痛苦。在这些新数组中有一个特殊的其它所PHP变量都不具备的特征,它们是完全的全局变量。这对你有什么帮助呢?让我们先对我们的示例进行一下扩充。
为了使得站点中的多个页面可以使用用户名/口令论证,我们将我们用户认证程序写到一个include文件(protectme.php)中:

<?php /* protectme.php */ 
function authorize_user($authuser, $authpass) 
{ 
$username = $_POST['username']; 
$password = $_POST['password']; 
// 检查用户名和口令 
if ($username != $authuser or $password != $authpass): 
?> 
<!-- 未授权的用户将在这里给予提示 --> 
<p>Please enter your username and password:</p> 
<form action="<?=$PHP_SELF?>" method="POST"> 
<p>Username: <input type="text" name="username" /><br /> 
Password: <input type="password" name="password" /><br /> 
<input type="submit" /></p> 
</form> 
<?php 
exit(); 
endif; 
} 
?>

现在,我们刚才的页面看上去将是这样的:
<?php 
require('protectme.php'); 
authorize_user('kevin','secret'); 
?>

<!-- 有安全要求的HTML内容 -->
很简单,很清晰明了,对不对?现在是考验你的眼力和经验的时候了 -- 在authorize_user 函数中少了什么?
在函数中没有申明$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需要增加一行代码以在函数中获取$username和$password变量:
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
在PHP中,和其它具有类似语法的语言不同,函数外的变量在函数中不能自动获得,你需要象上面所说明的那样增加一行以指定其来自global范围。
在PHP 4.0中,当关闭register_globals以提供安全性时,你可以使用$HTTP_POST_VARS数组以获得你的表单提交的值,但是你还是需要从全局范围导入这个数组:
function authorize_user($authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
$password = $HTTP_POST_VARS['password'];
但是在PHP 4.1及以后的版本中,特殊的$_POST变量(以及上面提到的其它变量)可以在所有范围内使用。这就是不需要在函数中申明$_POST变量是一个全局变量的原因:
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];

这对session有什么影响?

特殊的$_SESSION数组的引入实际上有助于简化session代码。你不需要将session变量申明为全局变量,然后再去留意哪些变量被注册了,你现在可以简单地从$_SESSION['varname']中引用你所有的session变量。
现在让我们来看看另一个用户认证的例子。这一次,我们使用sessions以标志一个在你的网站继续逗留的用户已经经过了用户认证。首先,我们来看看PHP 4.0版本(开启register_globals):

<?php 
session_start(); 
if ($username == 'kevin' and $password == 'secret') 
{ 
$authorized = true; 
session_register('authorized'); 
} 
?> 
<?php if (!$authorized): ?> 
<!-- 显示HTML表单以提示用户登录 --> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?>

和刚开始的程序一样,这个程序也存在安全漏洞,在URL的最后加上?authorized=1可以绕过安全措施直接访问页面内容。开发者可以将$authorized视为一个session变量而忽视了可以很容易地通过用户输入设置同样的变量。
当我们增加了我们的特殊的数组(PHP 4.1)并关闭register_globals(PHP 4.2)后,我们的程序将是这样的:
<?php 
session_start(); 
if ($username == 'kevin' and $password == 'secret') 
$_SESSION['authorized'] = true; 
?> 
<?php if (!$_SESSION['authorized']): ?> 
<!-- 显示HTML表单以提示用户登录 --> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?>

是不是更加简单了?你不再需要再将普通的变量注册为一个session变量,你只需要直接设置session变量(在$_SESSION数组中),然后用同样的方法使用它。程序变得更短了,而且对于什么变量是session变量也不会引起混乱!

总结

在这篇文章中,我解释了PHP脚本语言作出改变的深层原因。在PHP 4.1中,添加了一组特殊数据以访问外部数据。这些数组可以在任何范围内调用,这使得外部数据的访问更方便。在PHP 4.2中,register_globals被默认关闭以鼓励使用这些数组以避免无经验的开发者编写出不安全的PHP代码。

没有试过我怎么知道?

PHP 相关文章推荐
PHP5新特性: 更加面向对象化的PHP
Nov 18 PHP
PHP 获取MSN好友列表的代码(2009-05-14测试通过)
Sep 09 PHP
php下目前为目最全的CURL中文说明
Aug 01 PHP
php中存储用户ID和密码到mysql数据库的方法
Feb 06 PHP
php如何解决无法上传大于8M的文件问题
Mar 10 PHP
PHP时间和日期函数详解
May 08 PHP
CI(CodeIgniter)模型用法实例分析
Jan 20 PHP
PHP 中常量的知识整理
Apr 14 PHP
PHP基于socket实现客户端和服务端通讯功能
Jul 13 PHP
Laravel构建即时应用的一种实现方法详解
Aug 31 PHP
用Laravel轻松处理千万级数据的方法实现
Dec 25 PHP
Memcached介绍及php-memcache扩展安装
Apr 01 PHP
PHP中register_globals参数为OFF和ON的区别(register_globals 使用详解)
Feb 05 #PHP
PHP中使用数组实现堆栈数据结构的代码
Feb 05 #PHP
PHP使用数组实现队列
Feb 05 #PHP
mysql数据库差异比较的PHP代码
Feb 05 #PHP
PHP反转字符串函数strrev()函数的用法
Feb 04 #PHP
PHP __autoload函数(自动载入类文件)的使用方法
Feb 04 #PHP
PHP函数spl_autoload_register()用法和__autoload()介绍
Feb 04 #PHP
You might like
php5中date()得出的时间为什么不是当前时间的解决方法
2008/06/30 PHP
php压缩多个CSS为一个css的代码并缓存
2011/04/21 PHP
深入浅析PHP7.0新特征(五大新特征)
2015/10/29 PHP
javascript中自定义对象的属性方法分享
2013/07/12 Javascript
屏蔽script注入小例子
2013/11/12 Javascript
javascript 获取HTML DOM父、子、临近节点
2014/06/16 Javascript
如何实现JavaScript动态加载CSS和JS文件
2020/12/28 Javascript
轻松掌握JavaScript装饰者模式
2016/08/27 Javascript
js HTML5上传示例代码完整版
2016/10/10 Javascript
解析js如何获取css样式
2016/12/11 Javascript
ES6正则的扩展实例详解
2017/04/25 Javascript
详解如何在Angular中快速定位DOM元素
2017/05/17 Javascript
Node.js+jade+mongodb+mongoose实现爬虫分离入库与生成静态文件的方法
2017/09/20 Javascript
javascript 产生随机数的几种方法总结
2017/09/26 Javascript
js动态设置select下拉菜单的默认选中项实例
2018/08/21 Javascript
Bootstrap 实现表格样式、表单布局的实例代码
2018/12/09 Javascript
Javascript异步编程async实现过程详解
2020/04/02 Javascript
使用npm命令提示: 'npm' 不是内部或外部命令,也不是可运行的程序的处理方法
2020/05/14 Javascript
python中的for循环
2018/09/28 Python
pandas中apply和transform方法的性能比较及区别介绍
2018/10/30 Python
python 标准差计算的实现(std)
2019/07/29 Python
Python 进程操作之进程间通过队列共享数据,队列Queue简单示例
2019/10/11 Python
Python 中 -m 的典型用法、原理解析与发展演变
2019/11/11 Python
python 实现兔子生兔子示例
2019/11/21 Python
Python数据可视化:饼状图的实例讲解
2019/12/07 Python
python nohup 实现远程运行不宕机操作
2020/04/16 Python
移动端开发HTML5页面点击按钮后出现闪烁或黑色背景的解决办法
2018/09/19 HTML / CSS
阿迪达斯加拿大官网:Adidas加拿大
2016/08/25 全球购物
奥地利手表、香水、化妆品和珠宝购物网站:Brasty.at
2021/01/17 全球购物
资料员岗位职责
2013/11/17 职场文书
医学生自荐信范文
2013/12/03 职场文书
临床医师个人自我评价
2014/04/06 职场文书
战略合作协议书范本
2014/04/18 职场文书
2014教师教育实践活动对照检查材料思想汇报
2014/09/21 职场文书
乔迁之喜答谢词
2015/01/05 职场文书
小学生作文写作技巧100例,非常实用!
2019/07/08 职场文书