探讨PHP数据过滤的安全之道_PHP教程
在在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:
确保PHP数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的来源。
关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。
PHP数据过滤调度方法
这种方法是用一个单一的PHP脚本调度(通过 URL)。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。例如:
http://example.org/dispatch.php?task=print_formdispatch.php是唯一的根文件(Document root)。它可以让开发者做两件非常重要的事情:
在dispatch.php最开始实现一些全局的安全处理,并且确保这些处理不可以被绕过。容易确定在必要的地方进行数据过滤,特别是一些特殊目的的控制流操作中。看下面的例子以便进一步讨论dispatch.php脚本:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li><span>/* 全局安全处理 */ </span></li>
<li class="alt"><span>switch ($_GET['task']){case <br>'print_form':include '/inc/<br>presentation/form.inc'; </span></li>
<li><span>break; </span></li>
<li class="alt">
<span>case 'process_form':$</span><span class="attribute">form_valid</span><span> = </span><span class="attribute-value">false</span><span>; </span>
</li>
<li><span>include '/inc/logic/process.inc'; </span></li>
<li class="alt"><span>if ($form_valid){include '/inc/<br>presentation/end.inc';}else{include <br>'/inc/presentation/form.inc';}<br>break;default:include '/inc/presentation<br>/index.inc'; </span></li>
<li><span>break; </span></li>
<li class="alt"><span>} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>如果这是唯一的可公开访问到的 PHP 脚本,则可以确信的一点是这个程序的设计可以确保在最开始的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如,不需要浏览整个代码就可以容易的知道:当$form_valid为true时,end.inc是唯一显示给用户的;由于它在process.inc被包含之前,并刚刚初始化为false,可以确定的是process.inc的内部逻辑会将设置它为true;否则表单将再次显示(可能会显示相关的错误信息)。
PHP数据过滤要注意的问题
如果你使用目录定向文件,如index.php(代替dispatch.php),你可以像这样使用 URL 地址:http://example.org/?task=print_form。
你还可以使用ApacheForceType重定向或者mod_rewrite来调整 URL 地址:http://example.org/app/print-form。
PHP数据过滤的包含方法
另外一种方式是使用单独一个模块,这个模块负责所有的安全处理。这个模块被包含在所有公开的 PHP 脚本的最前端(或者非常靠前的部分)。参考下面的脚本security.inc
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li><span>switch ($_POST['form']) </span></li>
<li class="alt"><span>{case 'login': </span></li>
<li>
<span>$</span><span class="attribute">allowed</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>$allowed[] = 'form'; </span></li>
<li><span>$allowed[] = 'username'; </span></li>
<li class="alt"><span>$allowed[] = 'password'; </span></li>
<li>
<span>$</span><span class="attribute">sent</span><span> = </span><span class="attribute-value">array_keys</span><span>($_POST); </span>
</li>
<li class="alt">
<span>if ($</span><span class="attribute">allowed</span><span> == $sent) </span>
</li>
<li><span>{include '/inc/logic/<br>process.inc';} </span></li>
<li class="alt"><span>break; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>在这个PHP数据过滤例中,每个提交过来的表单都认为应当含有form这个唯一验证值,并且security.inc独立处理表单中0需要过滤的数据。实现这个要求的HTML表单如下所示:
<ol class="dp-xml"> <li class="alt"><span><span class="tag"><span> </span><span class="tag-name">form.</span><span> </span><span class="attribute">action</span><span>=</span><span class="attribute-value">"/receive.php"</span><span> <br></span><span class="attribute">method</span><span>=</span><span class="attribute-value">"POST"</span><span class="tag">></span><span> </span></span></span></li> <li><span class="tag"><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"hidden"</span><span> <br></span><span class="attribute">name</span><span>=</span><span class="attribute-value">"form"</span><span> </span><span class="attribute">value</span><span>=</span><span class="attribute-value">"login"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> </span><span class="tag-name">p</span><span class="tag">></span><span>Username: </span></span></li> <li><span class="tag"><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"text"</span><span> </span><span class="attribute">name</span><span>=</span><span class="attribute-value">"username"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> /p</span><span class="tag">></span><span> </span></span></li> <li><span class="tag"><span> </span><span class="tag-name">p</span><span class="tag">></span><span>Password:</span><span class="tag"><span class="tag-name">input</span><span> <br></span><span class="attribute">type</span><span>=</span><span class="attribute-value">"password"</span><span> </span><span class="attribute">name</span><span>=</span><span class="attribute-value">"password"</span><span> </span><span class="tag">/></span><span> </span></span></span></li> <li class="alt"><span class="tag"><span> /p</span><span class="tag">></span><span> </span></span></li> <li><span class="tag"><span> </span><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"submit"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> /form</span><span class="tag">></span><span> </span></span></li> </ol>
叫做$allowed的数组用来检验哪个表单变量是允许的, 这个列表在表单被处理前应当是一致的。流程控制决定要执行什么,而process.inc是真正过滤后的数据到达的地方。
注意
确保security.inc总是被包含在每个脚本的最开始的位置比较好的方法是使用auto_prepend_file设置。
PHP数据过滤的例子
建立白名单对于PHP数据过滤是非常重要的。由于不可能对每一种可能遇到的表单数据都给出例子,部分例子可以帮助你对此有一个大体的了解。
下面的代码对邮件地址进行了验证:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt">
<span>$</span><span class="attribute">email_pattern</span><span> = </span><span class="attribute-value">'<br>/^[^@s]+@([-a-z0-9]+.)<br>+[a-z]{2,}$/i'</span><span>; </span>
</li>
<li><span>if (preg_match($email_<br>pattern, $_POST['email'])) </span></li>
<li class="alt"><span>{$clean['email'] = $_POST<br>['email'];} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>下面的PHP数据过滤代码确保了$_POST['color']的内容是red,green,或者blue:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>switch ($_POST['color'])<br>{case 'red':case 'green':case <br>'blue':$clean['color'] = <br>$_POST['color']; </span></li>
<li><span>break; </span></li>
<li class="alt"><span>} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>下面的PHP数据过滤代码确保$_POST['num']是一个整数(integer):
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>if ($_POST['num'] == <br>strval(intval($_<br>POST['num']))){$clean<br>['num'] = $_POST['num']; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>下面的PHP数据过滤代码确保$_POST['num']是一个浮点数(float):
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>if ($_POST['num'] == <br>strval(floatval($_POST<br>['num']))){$clean['num'] <br>= $_POST['num']; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>PHP数据过滤的名字转换
之前每个例子都使用了数组$clean。对于开发人员判断数据是否有潜在的威胁这是一个很好的习惯。 永远不要在对数据验证后还将其保存在$_POST或者$_GET中,作为开发人员对超级全局数组中保存的数据总是应当保持充分的怀疑。
需要补充的是,使用$clean可以帮助思考还有什么没有被过滤,这更类似一个白名单的作用。可以提升安全的等级。
如果仅仅将验证过的数据保存在$clean,在数据验证上仅存的风险是你所引用的数组元素不存在,而不是未过滤的危险数据。
PHP数据过滤的时机
一旦 PHP 脚本开始执行,则意味着 HTTP 请求已经全部结束。此时,用户便没有机会向脚本发送数据。因此,没有数据可以被输入到脚本中(甚至register_globals被开启的情况下)。这就是为什么初始化变量是非常好的习惯。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
PHP:网络开发的关键语言
Apr 13, 2025 am 12:08 AM
PHP是一种广泛应用于服务器端的脚本语言,特别适合web开发。1.PHP可以嵌入HTML,处理HTTP请求和响应,支持多种数据库。2.PHP用于生成动态网页内容,处理表单数据,访问数据库等,具有强大的社区支持和开源资源。3.PHP是解释型语言,执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时,可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7
PHP和Python:比较两种流行的编程语言
Apr 14, 2025 am 12:13 AM
PHP和Python各有优势,选择依据项目需求。1.PHP适合web开发,尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能,语法简洁,适合初学者。
PHP行动:现实世界中的示例和应用程序
Apr 14, 2025 am 12:19 AM
PHP在电子商务、内容管理系统和API开发中广泛应用。1)电子商务:用于购物车功能和支付处理。2)内容管理系统:用于动态内容生成和用户管理。3)API开发:用于RESTfulAPI开发和API安全性。通过性能优化和最佳实践,PHP应用的效率和可维护性得以提升。
PHP的持久相关性:它还活着吗?
Apr 14, 2025 am 12:12 AM
PHP仍然具有活力,其在现代编程领域中依然占据重要地位。1)PHP的简单易学和强大社区支持使其在Web开发中广泛应用;2)其灵活性和稳定性使其在处理Web表单、数据库操作和文件处理等方面表现出色;3)PHP不断进化和优化,适用于初学者和经验丰富的开发者。
PHP和Python:解释了不同的范例
Apr 18, 2025 am 12:26 AM
PHP主要是过程式编程,但也支持面向对象编程(OOP);Python支持多种范式,包括OOP、函数式和过程式编程。PHP适合web开发,Python适用于多种应用,如数据分析和机器学习。
PHP和Python:代码示例和比较
Apr 15, 2025 am 12:07 AM
PHP和Python各有优劣,选择取决于项目需求和个人偏好。1.PHP适合快速开发和维护大型Web应用。2.Python在数据科学和机器学习领域占据主导地位。
PHP与其他语言:比较
Apr 13, 2025 am 12:19 AM
PHP适合web开发,特别是在快速开发和处理动态内容方面表现出色,但不擅长数据科学和企业级应用。与Python相比,PHP在web开发中更具优势,但在数据科学领域不如Python;与Java相比,PHP在企业级应用中表现较差,但在web开发中更灵活;与JavaScript相比,PHP在后端开发中更简洁,但在前端开发中不如JavaScript。
PHP:处理数据库和服务器端逻辑
Apr 15, 2025 am 12:15 AM
PHP在数据库操作和服务器端逻辑处理中使用MySQLi和PDO扩展进行数据库交互,并通过会话管理等功能处理服务器端逻辑。1)使用MySQLi或PDO连接数据库,执行SQL查询。2)通过会话管理等功能处理HTTP请求和用户状态。3)使用事务确保数据库操作的原子性。4)防止SQL注入,使用异常处理和关闭连接来调试。5)通过索引和缓存优化性能,编写可读性高的代码并进行错误处理。
