用PHP 4.2书写安全的脚本


Posted in PHP onOctober 09, 2006

原著:Kevin Yank  转自:www.linuxforum.net (恭喜再此开通)

在很长一段时间内,PHP作为服务器端脚本语言的最大卖点之一就是会为从表单提交的值自动建立一个全局变量。在PHP 4.1中,PHP的制作者们推荐了一个访问提交数据的替代手段。在PHP 4.2中,他们取消了那种老的做法!正如我将在这篇文章中解释的那样,作出这样的变化的目的是出于安全性的考虑。我们将研究PHP在处理表单提交及其它数据时的新的做法,并说明为什么这样做会提高代码的安全性。 

这里有什么错误? 

看看下面的这段PHP脚本,它用来在输入的用户名及口令正确时授权访问一个Web页面: 
<?php 
// 检查用户名及口令 
if ($username == 'kevin' and $password == 'secret') 
$authorized = true; 
?> 
<?php if (!$authorized): ?> 
<!-- 未授权的用户将在这里给予提示 --> 
<p>Please enter your username and password:</p> 
<form action="<?=$PHP_SELF?>" method="POST"> 
<p>Username: <input type="text" name="username" /><br /> 
Password: <input type="password" name="password" /><br /> 
<input type="submit" /></p> 
</form> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?> 
OK,我相信大约半数的读者会不屑的说“太愚蠢了-- 我不会犯这样的错误的!”但是我保证有很多的读者会想“嗨,没什么问题啊,我也会这么写的!”当然还会有少数人会对这个问题感到困惑(“什么是PHP?”)。PHP被设计为一个“好的而且容易的”脚本语言,初学者可以在很短的时间内学会使用它;它也应该能够避免初学者犯上面的错误。 
再回到刚才的问题,上面的代码中存在的问题是你可以很容易地获得访问的权力,而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量 -- 不论是来自动一个提交的表单、URL查询字符串还是一个cookie -- 这会将$authorized设置为1,这样一个未授权的用户也可以突破安全限制。 
那么,怎么简单地解决这个问题呢?只要在程序的开头将$authorized默认设置为false。这个问题就不存在了!$authorized是一个完全在程序代码中创建的变量;但是为什么开发者得为每一个恶意的用户提交的变量担心呢? 

PHP 4.2作了什么改变? 

在PHP 4.2中,新安装的PHP中的register_globals选项默认为关闭,因此EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中外部变量来源的全部范围)不会被作为全局变量来创建。当然,这个选项还可以通过手工来开启,但是PHP的开发者推荐你将其关闭。要贯彻他们的意图,你需要使用其它的方法来获取这些值。 
从PHP 4.1开始,EGPCS值就可以从一组指定的数组中获得: 
$_ENV -- 包含系统环境变量 
$_GET -- 包含查询字符串中的变量,以及提交方法为GET的表单中的变量 
$_POST -- 包含提交方式为POST的表单中的变量 
$_COOKIE -- 包含所有cookie变量 
$_SERVER -- 包含服务器变量,例如HTTP_USER_AGENT 
$_REQUEST -- 包含$_GET、$_POST和$_COOKIE的全部内容 
$_SESSION -- 包含所有已注册的session变量 
在PHP 4.1之前,当开发者关闭register_globals选项(这也被考虑为提高PHP性能的一种方法)后,必须使用诸如$HTTP_GET_VARS这样的令人讨厌的名字来获取这些变量。这些新的变量名不仅仅短,而且它们还有其他优点。 
首先,让我们在PHP 4.2中(也就是说关闭register_globals 选项)重写上面提到的代码: 
<?php 
$username = $_REQUEST['username']; 
$password = $_REQUEST['password']; 

// 检查用户名和口令 
if ($username == 'kevin' and $password == 'secret') 
$authorized = true; 
?> 
<?php if (!$authorized): ?> 
<!-- 未授权的用户将在这里给予提示 --> 
<p>Please enter your username and password:</p> 
<form action="<?=$PHP_SELF?>" method="POST"> 
<p>Username: <input type="text" name="username" /><br /> 
Password: <input type="password" name="password" /><br /> 
<input type="submit" /></p> 
</form> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?> 
正如你看到的,我所需要做的只是在代码的开始增加下面两行: 
$username = $_REQUEST['username']; 
$password = $_REQUEST['password']; 
因为我们希望用户名和密码是由用户提交的,所以我们从$_REQUEST数组中获取这些值。使用这个数组使得用户可以自由选择传递方式:通过URL查询字符串(例如允许用户创建书签时自动输入他们的证书)、通过一个提交的表单或者是通过一个cookie。如果你想要限制只能通过表单提交证书(更精确地说,是通过HTTP POST请求),你可以使用$_POST数组: 
$username = $_POST['username']; 
$password = $_POST['password']; 
除了“引入”这两个变量以外,程序代码没有任何改变。简单地关闭register_globals选项促使开发者更进一步了解哪些数据是来自外部的(不可信任的)资源。 
请注意这里还有一个小问题:PHP中默认的error_reporting设置仍然是E_ALL & ~E_NOTICE,因此如果“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中获得这两个值并不会招致任何错误信息。如晨不你的PHP程序需要严格的错误检查,你还需要增加一些代码以首先检查这些变量。 

但是这是不是意味着更多的输入? 

是的,在象上面这样的简单程序中,使用PHP 4.2常常会增加输入量。但是,还是看看光明的一面吧 -- 你的程序终究是更安全了! 
不过认真的说,PHP的设计者并没有完全忽视你的痛苦。在这些新数组中有一个特殊的其它所PHP变量都不具备的特征,它们是完全的全局变量。这对你有什么帮助呢?让我们先对我们的示例进行一下扩充。 
为了使得站点中的多个页面可以使用用户名/口令论证,我们将我们用户认证程序写到一个include文件(protectme.php)中: 
<?php /* protectme.php */ 
function authorize_user($authuser, $authpass) 

$username = $_POST['username']; 
$password = $_POST['password']; 
// 检查用户名和口令 
if ($username != $authuser or $password != $authpass): 
?> 
<!-- 未授权的用户将在这里给予提示 --> 
<p>Please enter your username and password:</p> 
<form action="<?=$PHP_SELF?>" method="POST"> 
<p>Username: <input type="text" name="username" /><br /> 
Password: <input type="password" name="password" /><br /> 
<input type="submit" /></p> 
</form> 
<?php 
exit(); 
endif; 

?> 
现在,我们刚才的页面看上去将是这样的: 
<?php 
require('protectme.php'); 
authorize_user('kevin','secret'); 
?> 
<!-- 有安全要求的HTML内容 --> 
很简单,很清晰明了,对不对?现在是考验你的眼力和经验的时候了 -- 在authorize_user 函数中少了什么? 
在函数中没有申明$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需要增加一行代码以在函数中获取$username和$password变量: 
function authorize_user($authuser, $authpass) 

global $username, $password; 
... 
在PHP中,和其它具有类似语法的语言不同,函数外的变量在函数中不能自动获得,你需要象上面所说明的那样增加一行以指定其来自global范围。 
在PHP 4.0中,当关闭register_globals以提供安全性时,你可以使用$HTTP_POST_VARS数组以获得你的表单提交的值,但是你还是需要从全局范围导入这个数组: 
function authorize_user($authuser, $authpass) 

global $HTTP_POST_VARS; 
$username = $HTTP_POST_VARS['username']; 
$password = $HTTP_POST_VARS['password']; 
但是在PHP 4.1及以后的版本中,特殊的$_POST变量(以及上面提到的其它变量)可以在所有范围内使用。这就是不需要在函数中申明$_POST变量是一个全局变量的原因: 
function authorize_user($authuser, $authpass) 

$username = $_POST['username']; 
$password = $_POST['password']; 

这对session有什么影响? 

特殊的$_SESSION数组的引入实际上有助于简化session代码。你不需要将session变量申明为全局变量,然后再去留意哪些变量被注册了,你现在可以简单地从$_SESSION['varname']中引用你所有的session变量。 
现在让我们来看看另一个用户认证的例子。这一次,我们使用sessions以标志一个在你的网站继续逗留的用户已经经过了用户认证。首先,我们来看看PHP 4.0版本(开启register_globals): 
<?php 
session_start(); 
if ($username == 'kevin' and $password == 'secret') 

$authorized = true; 
session_register('authorized'); 

?> 
<?php if (!$authorized): ?> 
<!-- 显示HTML表单以提示用户登录 --> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?> 
和刚开始的程序一样,这个程序也存在安全漏洞,在URL的最后加上?authorized=1可以绕过安全措施直接访问页面内容。开发者可以将$authorized视为一个session变量而忽视了可以很容易地通过用户输入设置同样的变量。 
当我们增加了我们的特殊的数组(PHP 4.1)并关闭register_globals(PHP 4.2)后,我们的程序将是这样的: 
<?php 
session_start(); 
if ($username == 'kevin' and $password == 'secret') 
$_SESSION['authorized'] = true; 
?> 
<?php if (!$_SESSION['authorized']): ?> 
<!-- 显示HTML表单以提示用户登录 --> 
<?php else: ?> 
<!-- 有安全要求的HTML内容 --> 
<?php endif; ?> 
是不是更加简单了?你不再需要再将普通的变量注册为一个session变量,你只需要直接设置session变量(在$_SESSION数组中),然后用同样的方法使用它。程序变得更短了,而且对于什么变量是session变量也不会引起混乱! 

总结 

在这篇文章中,我解释了PHP脚本语言作出改变的深层原因。在PHP 4.1中,添加了一组特殊数据以访问外部数据。这些数组可以在任何范围内调用,这使得外部数据的访问更方便。在PHP 4.2中,register_globals被默认关闭以鼓励使用这些数组以避免无经验的开发者编写出不安全的PHP代码。 

PHP 相关文章推荐
php获取ip的三个属性区别介绍(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
Sep 23 PHP
解析CodeIgniter自定义配置文件
Jun 18 PHP
PHP包含文件函数include、include_once、require、require_once区别总结
Apr 05 PHP
php获取网页请求状态程序示例
Jun 17 PHP
PHP的cURL库简介及使用示例
Feb 06 PHP
PHP计算指定日期所在周的开始和结束日期的方法
Mar 24 PHP
Laravel 5框架学习之Laravel入门和新建项目
Apr 07 PHP
codeigniter实现get分页的方法
Jul 10 PHP
PHP实现GIF图片验证码
Nov 04 PHP
PHP框架Laravel中实现supervisor执行异步进程的方法
Jun 07 PHP
yii2.0整合阿里云oss上传单个文件的示例
Sep 19 PHP
使用PHPStorm+XDebug搭建单步调试环境
Nov 19 PHP
3.从实例开始
Oct 09 #PHP
漂亮但不安全的CTB
Oct 09 #PHP
自动跳转中英文页面
Oct 09 #PHP
随机头像PHP版
Oct 09 #PHP
1.PHP简介
Oct 09 #PHP
5.PHP的其他功能
Oct 09 #PHP
2.PHP入门
Oct 09 #PHP
You might like
PHP6 先修班 JSON实例代码
2008/08/23 PHP
ThinkPHP基于PHPExcel导入Excel文件的方法
2014/10/15 PHP
PhpStorm 如何优雅的调试Hyperf的方法步骤
2019/11/24 PHP
php+js实现点赞功能的示例详解
2020/08/07 PHP
filemanage功能中用到的lib.js
2007/04/08 Javascript
将函数的实际参数转换成数组的方法
2010/01/25 Javascript
Extjs列表详细信息窗口新建后自动加载解决方法
2010/04/02 Javascript
JS实现控制表格内指定单元格内容对齐的方法
2015/03/30 Javascript
轻松学习jQuery插件EasyUI EasyUI创建RSS Feed阅读器
2015/11/30 Javascript
select隐藏选中值对应的id,显示其它id的简单实现方法
2016/08/25 Javascript
微信小程序 网络API 上传、下载详解
2016/11/09 Javascript
解决同一页面中两个iframe互相调用jquery,js函数的方法
2016/12/12 Javascript
Vue实现动态响应数据变化
2017/04/28 Javascript
Centos6.8下Node.js安装教程
2017/05/12 Javascript
JS实现去除数组中重复json的方法示例
2017/12/21 Javascript
vue-cli 默认路由再子路由选中下的选中状态问题及解决代码
2018/09/06 Javascript
JS实现动态倒计时功能(天数、时、分、秒)
2019/12/12 Javascript
JavaScript监听一个DOM元素大小变化
2020/04/26 Javascript
Javascript基于OOP实实现探测器功能代码实例
2020/08/26 Javascript
[00:52]DOTA2国际邀请赛
2020/02/21 DOTA
用python分割TXT文件成4K的TXT文件
2009/05/23 Python
pandas的连接函数concat()函数的具体使用方法
2019/07/09 Python
Django的Modelforms用法简介
2019/07/27 Python
PyTorch中topk函数的用法详解
2020/01/02 Python
详解django中Template语言
2020/02/22 Python
浅谈python 类方法/静态方法
2020/09/18 Python
解决pytorch 的state_dict()拷贝问题
2021/03/03 Python
伦敦时尚生活的缩影:LN-CC
2017/01/24 全球购物
美国时尚孕妇装品牌:A Pea in the Pod
2017/07/16 全球购物
什么是符号链接,什么是硬链接?符号链接与硬链接的区别是什么?
2014/01/19 面试题
国庆节文艺活动方案
2014/02/03 职场文书
各营销点岗位职责范本
2014/03/05 职场文书
爱心活动计划书
2014/04/26 职场文书
JavaScript canvas实现流星特效
2021/05/20 Javascript
HTML中的表单Form实现居中效果
2021/05/25 HTML / CSS
带你了解Java中的ForkJoin
2022/04/28 Java/Android