PHP编程函数安全篇


Posted in PHP onJanuary 08, 2013

对于我们想做web安全的人来说,最好就是拿来学习,可是万物抓根源,我们要的不是鱼而是渔。在国内,各种各样的php程序1.0版,2.0版像雨后春笋一样的冒出来,可是,大家关注的都是一些著名的cms,论坛,blog程序,很少的人在对那些不出名的程序做安全检测,对于越来越多的php程序员和站长来说,除了依靠服务器的堡垒设置外,php程序本身的安全多少你总得懂点吧。
有人说你们做php安全无非就是搞搞注入和跨站什么什么的,大错特错,如果这样的话,一个magic_quotes_gpc或者服务器里的一些安全设置就让我们全没活路了:(。我今天要说的不是注入,不是跨站,而是存在于php程序中的一些安全细节问题。OK!切入正题。
注意一些函数的过滤
有些函数在程序中是经常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它们的变体函数等等。这些函数都很实用,实用并不代表让你多省心,你还得为它们多费点心。 :)
1.include(),require()和fopen(),include_once(),require_once()这些都可以远程调用文件,对于它们的危害,google搜一下你就会很明了,对于所包含调用的变量没过滤好,就可以任意包含文件从而去执行。举个例子,看print.php

if (empty ($bn) ) { //检查是变量$bn是否为空
include (“$cfg_dir/site_${site}.php”); //把$cfg_dir这个路径里的site_${site}.php包含进来

不管存不存在$cfg_dir目录,$site这个变量你可以很自然的去使用,因为他根本没检查$site变量啊。可以把变量$site指定远程文件去调用,也可以是本地的一个文件,你所指定的文件里写上php的语句,然后它就去包含执行这个含有php语句的文件了.就像这样
列出文件目录甚至可以扩展到包含一些管理员文件,提升权限,典型的像以前phpwind,bo-blog的漏洞一样。除了依靠php.ini里的allow_url_fopen设为off禁止远程使用文件和open_base_dir禁止使用目录以外的文件外,你还得事先声明好只能包含哪些文件,这里就不多说废话了。
2.fopen(),file(),readfile(),openfile(),等也是该特别留意的地方。函数本身并没什么,它们的作用是去打开文件,可是如果对变量过滤不彻底的话,就会泄露源代码。这样的函数文本论坛里会有很多。

$articlearray=openfile(“$dbpath/$fid/$tid.php”); //打开$dbpath/$fid这个路径的$tid.php文件
$topic_detail=explode(“|”,$articlearray[0]); //用分割符|读出帖子的内容

很眼熟吧,这是ofstar以前版本的read.php,$fid和$tid没有任何过滤,$tid指定为某个文件提交,就发生了原代码泄露。就像这样。

$tid会被加上php的后缀,所以直接写index。这仅仅是个例子,接着看吧。
3.fwrite()和它的变体函数这种漏洞想想都想得出,对于用户提交的字符没过滤的话,写入一段php后门又不是不可以。
4.unlink()函数,前段时间,phpwind里任意删除文件就是利用这个函数,对于判断是否删除的变量没过滤,变量可以指定为任意文件,当然就可以删除任意文件的变量。
5.eval(),preg_replace()函数,它们的作用是执行php代码,如果字符串没被经过任何过滤的话,会发生什么呢,我就常看见一些cms里面使用,想想,一句话的php木马不就是根据eval()原理制作的吗?
6.对于system()这些系统函数,你会说在php.ini里禁止系统函数,对,这也是好办法,可是象一些程序里需要,那是不是就不用了呢?就像上次我看到的一套很漂亮的php相册一样。另外对于popen(),proc_open(),proc_close()函数你也得特别注意,尽管他们执行命令后并没有直接的输出,但你想这到底对黑客们有没有用呢。再这里php提供提供了两个函数,escapeshellarg(),escapeshellcmd(),这两个函数用来对抗系统函数的调用攻击,也就是过滤。
对于危害,来举个例子,我们来看某论坛prod.php
07 $doubleApp = isset($argv[1]); //初始化变量$doubleApp

14 if( $doubleApp ) //if语句
15 {
16 $appDir = $argv[1]; //初始化$appDir
17 system(“mkdir $prodDir/$appDir”); //使用系统函数system来创建目录$prodDir/$appDir

本来是拿来创建$prodDir/$appDir目录的,再接着看上去,程序仅仅检测是否存在$argv[1],缺少对$argv[1]的必要过滤,那么你就可以这样
/prod.php?argv[1]=|ls%20-la或者/prod.php?argv[1]=|cat%20/etc/passwd
(分割符| 在这里是UNIX的管道参数,可以执行多条命令。)
到这里,常见的漏洞类型应该知道点了吧。

所以一定不要只指望服务器端的设置,最好后台程序也需要注意下,一般情况下通过服务器针对某个站点设置应该能好点。但很多与数据库的操作等就不是这么容易控制了。

PHP 相关文章推荐
PHP5权威编程阅读学习笔记 附电子书下载
Jul 05 PHP
php删除文件夹及其文件夹下所有文件的函数代码
Jan 23 PHP
PHP中怎样防止SQL注入分析
Oct 23 PHP
使用PHP接受文件并获得其后缀名的方法
Aug 05 PHP
CodeIgniter生成静态页的方法
May 17 PHP
PHP文件操作实例总结
Sep 27 PHP
cakephp常见知识点汇总
Feb 24 PHP
浅谈PHP中如何实现Hook机制
Nov 14 PHP
php7函数,声明,返回值等新特性介绍
May 25 PHP
php利用array_search与array_column实现二维数组查找
Jul 08 PHP
使用laravel指定日志文件记录任意日志
Oct 17 PHP
PHP保存Base64图片base64_decode的问题整理
Nov 04 PHP
php中定时计划任务的实现原理
Jan 08 #PHP
整理的一些实用WordPress后台MySQL操作命令
Jan 07 #PHP
PHP中设置时区,记录日志文件的实现代码
Jan 07 #PHP
PHP基础教程(php入门基础教程)一些code代码
Jan 06 #PHP
将博客园(cnblogs.com)数据导入到wordpress的代码
Jan 06 #PHP
PHP表单递交控件名称含有点号(.)会被转化为下划线(_)的处理方法
Jan 06 #PHP
Fine Uploader文件上传组件应用介绍
Jan 06 #PHP
You might like
Windows下部署Apache+PHP+MySQL运行环境实战
2012/08/31 PHP
php 读写json文件及修改json的方法
2018/03/07 PHP
为指定元素增加样式的js代码
2009/12/09 Javascript
javascript学习笔记(三) String 字符串类型介绍
2012/06/19 Javascript
jquery ui dialog实现弹窗特效的思路及代码
2013/08/03 Javascript
javascript处理表单示例(javascript提交表单)
2014/04/28 Javascript
禁止iframe页面的所有js脚本如alert及弹出窗口等
2014/09/03 Javascript
排序算法的javascript实现与讲解(99js手记)
2014/09/28 Javascript
js字符串操作方法实例分析
2015/05/06 Javascript
JS实现图片上传预览功能
2016/11/21 Javascript
JavaScript验证知识整理
2017/03/24 Javascript
基于input框覆盖掉数字英文的实例讲解
2017/07/21 Javascript
使用canvas进行图像编辑的实例
2017/08/29 Javascript
使用express搭建一个简单的查询服务器的方法
2018/02/09 Javascript
JS数组去重常用方法实例小结【4种方法】
2018/05/28 Javascript
no-vnc和node.js实现web远程桌面的完整步骤
2019/08/11 Javascript
uniapp实现可以左右滑动导航栏
2020/10/21 Javascript
python dict remove数组删除(del,pop)
2013/03/24 Python
python处理xml文件的方法小结
2017/05/02 Python
Python之自动获取公网IP的实例讲解
2017/10/01 Python
基于并发服务器几种实现方法(总结)
2017/12/29 Python
python使用matplotlib库生成随机漫步图
2018/08/27 Python
Python读取YUV文件,并显示的方法
2018/12/04 Python
Apache,wsgi,django 程序部署配置方法详解
2019/07/01 Python
opencv导入头文件时报错#include的解决方法
2019/07/31 Python
html5读取本地文件示例代码
2014/04/22 HTML / CSS
北京某公司的.net笔试题
2014/03/20 面试题
如何通过 CSS 写出火焰效果
2021/03/24 HTML / CSS
网站客服岗位职责
2014/04/05 职场文书
广告宣传策划方案
2014/05/21 职场文书
幼儿园大班区域活动总结
2014/07/09 职场文书
机电专业毕业生自我鉴定2014
2014/10/04 职场文书
学校政风行风评议工作总结
2014/10/21 职场文书
优秀工作者事迹材料
2014/12/26 职场文书
团代会开幕词
2015/01/28 职场文书
CKAD认证中部署k8s并配置Calico插件
2022/03/31 Servers