PHP数据过滤的方法


Posted in PHP onOctober 30, 2013

在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:
确保数据过滤无法被绕过,
确保不合法的信息不会影响合法的信息,并且
识别数据的来源。
关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。
调度方法
这种方法是用一个单一的 php 脚本调度(通过 URL)。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。例如:
http://a.org/dispatch.php?task=PRint_formdispatch.php是唯一的根文件(Document root)。它可以让开发者做两件非常重要的事情:
在dispatch.php最开始实现一些全局的安全处理,并且确保这些处理不可以被绕过。
容易确定在必要的地方进行数据过滤,特别是一些特殊目的的控制流操作中。
看下面的例子以便进一步讨论dispatch.php脚本:
<?php/* 全局安全处理 */switch ($_GET['task']){case 'print_form':include '/inc/presentation/form.inc';break;case 'process_form':$form_valid = false;include '/inc/logic/process.inc';if ($form_valid){include '/inc/presentation/end.inc';}else{include '/inc/presentation/form.inc';}break;default:include '/inc/presentation/index.inc';break;}?>如果这是唯一的可公开访问到的 PHP 脚本,则可以确信的一点是这个程序的设计可以确保在最开始的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如,不需要浏览整个代码就可以容易的知道:当$form_valid为true时,end.inc是唯一显示给用户的;由于它在process.inc被包含之前,并刚刚初始化为false,可以确定的是process.inc的内部逻辑会将设置它为true;否则表单将再次显示(可能会显示相关的错误信息)。
注意
如果你使用目录定向文件,如index.php(代替dispatch.php),你可以像这样使用 URL 地址:http://a.org/?task=print_form。
你还可以使用 ApacheForceType重定向或者mod_rewrite来调整 URL 地址:http://a.org/app/print-form。
包含方法
另外一种方式是使用单独一个模块,这个模块负责所有的安全处理。这个模块被包含在所有公开的 PHP 脚本的最前端(或者非常靠前的部分)。参考下面的脚本security.inc

<?phpswitch ($_POST['form']){case 'login':$allowed = array();$allowed[] = 'form';$allowed[] = 'username';$allowed[] = 'passWord';$sent = array_keys($_POST);if ($allowed == $sent){include '/inc/logic/process.inc';}break;}?>

在本例中,每个提交过来的表单都认为应当含有form这个唯一验证值,并且security.inc独立处理表单中0需要过滤的数据。实现这个要求的 HTML 表单如下所示:
<form action="/receive.php" method="POST"><input type="hidden" name="form" value="login" /><p>Username:<input type="text" name="username" /></p><p>Password:<input type="password" name="password" /></p><input type="submit" /></form>

叫做$allowed的数组用来检验哪个表单变量是允许的, 这个列表在表单被处理前应当是一致的。流程控制决定要执行什么,而process.inc是真正过滤后的数据到达的地方。
注意
确保security.inc总是被包含在每个脚本的最开始的位置比较好的方法是使用auto_prepend_file设置。
过滤的例子
建立白名单对于数据过滤是非常重要的。由于不可能对每一种可能遇到的表单数据都给出例子,部分例子可以帮助你对此有一个大体的了解。
下面的代码对邮件地址进行了验证:
<?php$clean = array();$email_pattern = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';if (preg_match($email_pattern, $_POST['email'])){$clean['email'] = $_POST['email'];}?>

下面的代码确保了$_POST['color']的内容是red,green,或者blue:
[/co<?php$clean = array();switch ($_POST['color']){case 'red':case 'green':case 'blue':$clean['color'] = $_POST['color'];break;}?>de]
下面的代码确保$_POST['num']是一个整数(integer):
[code]
<?php$clean = array();if ($_POST['num'] == strval(intval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

下面的代码确保$_POST['num']是一个浮点数(float):
<?php$clean = array();if ($_POST['num'] == strval(floatval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

名字转换
之前每个例子都使用了数组$clean。对于开发人员判断数据是否有潜在的威胁这是一个很好的习惯。 永远不要在对数据验证后还将其保存在$_POST或者$_GET中,作为开发人员对超级全局数组中保存的数据总是应当保持充分的怀疑。
需要补充的是,使用$clean可以帮助思考还有什么没有被过滤,这更类似一个白名单的作用。可以提升安全的等级。
如果仅仅将验证过的数据保存在$clean,在数据验证上仅存的风险是你所引用的数组元素不存在,而不是未过滤的危险数据。
时机
一旦 PHP 脚本开始执行,则意味着 HTTP 请求已经全部结束。此时,用户便没有机会向脚本发送数据。因此,没有数据可以被输入到脚本中(甚至register_globals被开启的情况下)。这就是为什么初始化变量是非常好的习惯。

 

 

PHP 相关文章推荐
php中关于普通表单多文件上传的处理方法
Mar 25 PHP
php数组函数序列之array_pop() - 删除数组中的最后一个元素
Nov 07 PHP
PHP JS Ip地址及域名格式检测代码
Sep 27 PHP
php中smarty实现多模版网站的方法
Jun 11 PHP
php中文验证码实现方法
Jun 18 PHP
PHP书写格式详解(必看)
May 23 PHP
mysql desc(DESCRIBE)命令实例讲解
Sep 24 PHP
PHP实现基于图的深度优先遍历输出1,2,3...n的全排列功能
Nov 10 PHP
PDO::_construct讲解
Jan 27 PHP
ThinkPHP5.0框架实现切换数据库的方法分析
Oct 30 PHP
通过PHP的Wrapper无缝迁移原有项目到新服务的实现方法
Apr 02 PHP
浅谈如何提高PHP代码质量之单元测试
May 28 PHP
php另类上传图片的方法(PHP用Socket上传图片)
Oct 30 #PHP
使用Curl进行抓取远程内容时url中文编码问题示例探讨
Oct 29 #PHP
is_uploaded_file函数引发的不能上传文件问题
Oct 29 #PHP
单点登录 Ucenter示例分析
Oct 29 #PHP
php中过滤非法字符的具体实现
Oct 29 #PHP
PHP时间戳 strtotime()使用方法和技巧
Oct 29 #PHP
PHP页面中文乱码分析
Oct 29 #PHP
You might like
php SQL防注入代码集合
2008/04/25 PHP
ThinkPHP使用心得分享-ThinkPHP + Ajax 实现2级联动下拉菜单
2014/05/15 PHP
PHP之密码加密的几种方式
2015/07/29 PHP
thinkphp5.1框架实现格式化mysql时间戳为日期的方式小结
2019/10/10 PHP
JavaScript判断一个URL链接是否有效的实现方法
2011/10/08 Javascript
js当一个变量为函数时 应该注意的一点细节小结
2011/12/29 Javascript
javascript实现tabs选项卡切换效果(自写原生js)
2013/03/19 Javascript
文本框回车提交与禁止提交示例
2013/09/27 Javascript
jquery zTree异步加载、模糊搜索简单实例分享
2016/03/24 Javascript
JQuery统计input和textarea文字输入数量(代码分享)
2016/12/29 Javascript
小程序开发实战:实现九宫格界面的导航的代码实现
2017/01/19 Javascript
Bootstrap表单简单实现代码
2017/03/06 Javascript
Angularjs 1.3 中的$parse实例代码
2017/09/14 Javascript
薪资那么高的Web前端必看书单
2017/10/13 Javascript
Webpack devServer中的 proxy 实现跨域的解决
2018/06/15 Javascript
nodejs实现一个word文档解析器思路详解
2018/08/14 NodeJs
JQuery+Bootstrap 自定义全屏Loading插件的示例demo
2019/07/03 jQuery
再也不怕 JavaScript 报错了,怎么看怎么处理都在这儿
2020/12/09 Javascript
python实现批量按比例缩放图片效果
2018/03/30 Python
对Python3中的input函数详解
2018/04/22 Python
Flask框架Flask-Login用法分析
2018/07/23 Python
Python后台管理员管理前台会员信息的讲解
2019/01/28 Python
python安装cx_Oracle和wxPython的方法
2020/09/14 Python
python实现数学模型(插值、拟合和微分方程)
2020/11/13 Python
英国珠宝网站Argento: PANDORA、Olivia Burton和Nomination等
2020/05/08 全球购物
在SQL Server中创建数据库主要有那种方式
2013/09/10 面试题
如何用JQuery进行表单验证
2013/05/29 面试题
师范学院毕业生求职信范文
2013/12/26 职场文书
求职简历自我评价范例
2014/03/12 职场文书
人口与计划生育目标管理责任书
2014/07/29 职场文书
晚自修旷课检讨书怎么写
2014/11/17 职场文书
委托函范文
2015/01/29 职场文书
刑事申诉状范文
2015/05/20 职场文书
火烧圆明园的观后感
2015/06/03 职场文书
2016年毕业实习心得体会范文
2015/10/09 职场文书
Python opencv缺陷检测的实现及问题解决
2021/04/24 Python