亚洲免费在线视频-亚洲啊v-久久免费精品视频-国产精品va-看片地址-成人在线视频网

您的位置:首頁技術(shù)文章
文章詳情頁

用PHP 4.2書寫安全的腳本

瀏覽:5日期:2024-01-25 13:50:36
原著:Kevin;Yank;;轉(zhuǎn)自:www.linuxforum.net;(恭喜再此開通)在很長一段時間內(nèi),PHP作為服務(wù)器端腳本語言的最大賣點之一就是會為從表單提交的值自動建立一個全局變量。在PHP;4.1中,PHP的制作者們推薦了一個訪問提交數(shù)據(jù)的替代手段。在PHP;4.2中,他們?nèi)∠四欠N老的做法!正如我將在這篇文章中解釋的那樣,作出這樣的變化的目的是出于安全性的考慮。我們將研究PHP在處理表單提交及其它數(shù)據(jù)時的新的做法,并說明為什么這樣做會提高代碼的安全性。;這里有什么錯誤?;看看下面的這段PHP腳本,它用來在輸入的用戶名及口令正確時授權(quán)訪問一個Web頁面:;<?php;//;檢查用戶名及口令;if;($username;==;'kevin';and;$password;==;'secret');$authorized;=;true;;?>;<?php;if;(!$authorized):;?>;<!--;未授權(quán)的用戶將在這里給予提示;-->;<p>Please;enter;your;username;and;password:</p>;<form;action='<?=$PHP_SELF?>';method='POST'>;<p>Username:;<input;type='text';name='username';/><br;/>;Password:;<input;type='password';name='password';/><br;/>;<input;type='submit';/></p>;</form>;<?php;else:;?>;<!--;有安全要求的HTML內(nèi)容;-->;<?php;endif;;?>;OK,我相信大約半數(shù)的讀者會不屑的說“太愚蠢了--;我不會犯這樣的錯誤的!”但是我保證有很多的讀者會想“嗨,沒什么問題啊,我也會這么寫的!”當然還會有少數(shù)人會對這個問題感到困惑(“什么是PHP?”)。PHP被設(shè)計為一個“好的而且容易的”腳本語言,初學(xué)者可以在很短的時間內(nèi)學(xué)會使用它;它也應(yīng)該能夠避免初學(xué)者犯上面的錯誤。;再回到剛才的問題,上面的代碼中存在的問題是你可以很容易地獲得訪問的權(quán)力,而不需要提供正確的用戶名和口令。只在要你的瀏覽器的地址欄的最后添加?authorized=1。因為PHP會自動地為每一個提交的值創(chuàng)建一個變量;--;不論是來自動一個提交的表單、URL查詢字符串還是一個cookie;--;這會將$authorized設(shè)置為1,這樣一個未授權(quán)的用戶也可以突破安全限制。;那么,怎么簡單地解決這個問題呢?只要在程序的開頭將$authorized默認設(shè)置為false。這個問題就不存在了!$authorized是一個完全在程序代碼中創(chuàng)建的變量;但是為什么開發(fā)者得為每一個惡意的用戶提交的變量擔(dān)心呢?;PHP;4.2作了什么改變?;在PHP;4.2中,新安裝的PHP中的register_globals選項默認為關(guān)閉,因此EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的縮寫;--;這是PHP中外部變量來源的全部范圍)不會被作為全局變量來創(chuàng)建。當然,這個選項還可以通過手工來開啟,但是PHP的開發(fā)者推薦你將其關(guān)閉。要貫徹他們的意圖,你需要使用其它的方法來獲取這些值。;從PHP;4.1開始,EGPCS值就可以從一組指定的數(shù)組中獲得:;$_ENV;--;包含系統(tǒng)環(huán)境變量;$_GET;--;包含查詢字符串中的變量,以及提交方法為GET的表單中的變量;$_POST;--;包含提交方式為POST的表單中的變量;$_COOKIE;--;包含所有cookie變量;$_SERVER;--;包含服務(wù)器變量,例如HTTP_USER_AGENT;$_REQUEST;--;包含$_GET、$_POST和$_COOKIE的全部內(nèi)容;$_SESSION;--;包含所有已注冊的session變量;在PHP;4.1之前,當開發(fā)者關(guān)閉register_globals選項(這也被考慮為提高PHP性能的一種方法)后,必須使用諸如$HTTP_GET_VARS這樣的令人討厭的名字來獲取這些變量。這些新的變量名不僅僅短,而且它們還有其他優(yōu)點。;首先,讓我們在PHP;4.2中(也就是說關(guān)閉register_globals;選項)重寫上面提到的代碼:;<?php;$username;=;$_REQUEST['username'];;$password;=;$_REQUEST['password'];;//;檢查用戶名和口令;if;($username;==;'kevin';and;$password;==;'secret');$authorized;=;true;;?>;<?php;if;(!$authorized):;?>;<!--;未授權(quán)的用戶將在這里給予提示;-->;<p>Please;enter;your;username;and;password:</p>;<form;action='<?=$PHP_SELF?>';method='POST'>;<p>Username:;<input;type='text';name='username';/><br;/>;Password:;<input;type='password';name='password';/><br;/>;<input;type='submit';/></p>;</form>;<?php;else:;?>;<!--;有安全要求的HTML內(nèi)容;-->;<?php;endif;;?>;正如你看到的,我所需要做的只是在代碼的開始增加下面兩行:;$username;=;$_REQUEST['username'];;$password;=;$_REQUEST['password'];;因為我們希望用戶名和密碼是由用戶提交的,所以我們從$_REQUEST數(shù)組中獲取這些值。使用這個數(shù)組使得用戶可以自由選擇傳遞方式:通過URL查詢字符串(例如允許用戶創(chuàng)建書簽時自動輸入他們的證書)、通過一個提交的表單或者是通過一個cookie。如果你想要限制只能通過表單提交證書(更精確地說,是通過HTTP;POST請求),你可以使用$_POST數(shù)組:;$username;=;$_POST['username'];;$password;=;$_POST['password'];;除了“引入”這兩個變量以外,程序代碼沒有任何改變。簡單地關(guān)閉register_globals選項促使開發(fā)者更進一步了解哪些數(shù)據(jù)是來自外部的(不可信任的)資源。;請注意這里還有一個小問題:PHP中默認的error_reporting設(shè)置仍然是E_ALL;&;~E_NOTICE,因此如果“username”和“password”這兩個值沒有被提交,試圖從$_REQUEST數(shù)組或$_POST數(shù)組中獲得這兩個值并不會招致任何錯誤信息。如晨不你的PHP程序需要嚴格的錯誤檢查,你還需要增加一些代碼以首先檢查這些變量。;但是這是不是意味著更多的輸入?;是的,在象上面這樣的簡單程序中,使用PHP;4.2常常會增加輸入量。但是,還是看看光明的一面吧;--;你的程序終究是更安全了!;不過認真的說,PHP的設(shè)計者并沒有完全忽視你的痛苦。在這些新數(shù)組中有一個特殊的其它所PHP變量都不具備的特征,它們是完全的全局變量。這對你有什么幫助呢?讓我們先對我們的示例進行一下擴充。;為了使得站點中的多個頁面可以使用用戶名/口令論證,我們將我們用戶認證程序?qū)懙揭粋€include文件(protectme.php)中:;<?php;/*;protectme.php;*/;function;authorize_user($authuser,;$authpass);{;$username;=;$_POST['username'];;$password;=;$_POST['password'];;//;檢查用戶名和口令;if;($username;!=;$authuser;or;$password;!=;$authpass):;?>;<!--;未授權(quán)的用戶將在這里給予提示;-->;<p>Please;enter;your;username;and;password:</p>;<form;action='<?=$PHP_SELF?>';method='POST'>;<p>Username:;<input;type='text';name='username';/><br;/>;Password:;<input;type='password';name='password';/><br;/>;<input;type='submit';/></p>;</form>;<?php;exit();;endif;;};?>;現(xiàn)在,我們剛才的頁面看上去將是這樣的:;<?php;require('protectme.php');;authorize_user('kevin','secret');;?>;<!--;有安全要求的HTML內(nèi)容;-->;很簡單,很清晰明了,對不對?現(xiàn)在是考驗?zāi)愕难哿徒?jīng)驗的時候了;--;在authorize_user;函數(shù)中少了什么?;在函數(shù)中沒有申明$_POST是一個全局變量!在php;4.0中,當register_globals開啟時,你需要增加一行代碼以在函數(shù)中獲取$username和$password變量:;function;authorize_user($authuser,;$authpass);{;global;$username,;$password;;...;在PHP中,和其它具有類似語法的語言不同,函數(shù)外的變量在函數(shù)中不能自動獲得,你需要象上面所說明的那樣增加一行以指定其來自global范圍。;在PHP;4.0中,當關(guān)閉register_globals以提供安全性時,你可以使用$HTTP_POST_VARS數(shù)組以獲得你的表單提交的值,但是你還是需要從全局范圍導(dǎo)入這個數(shù)組:;function;authorize_user($authuser,;$authpass);{;global;$HTTP_POST_VARS;;$username;=;$HTTP_POST_VARS['username'];;$password;=;$HTTP_POST_VARS['password'];;但是在PHP;4.1及以后的版本中,特殊的$_POST變量(以及上面提到的其它變量)可以在所有范圍內(nèi)使用。這就是不需要在函數(shù)中申明$_POST變量是一個全局變量的原因:;function;authorize_user($authuser,;$authpass);{;$username;=;$_POST['username'];;$password;=;$_POST['password'];;這對session有什么影響?;特殊的$_SESSION數(shù)組的引入實際上有助于簡化session代碼。你不需要將session變量申明為全局變量,然后再去留意哪些變量被注冊了,你現(xiàn)在可以簡單地從$_SESSION['varname']中引用你所有的session變量。;現(xiàn)在讓我們來看看另一個用戶認證的例子。這一次,我們使用sessions以標志一個在你的網(wǎng)站繼續(xù)逗留的用戶已經(jīng)經(jīng)過了用戶認證。首先,我們來看看PHP;4.0版本(開啟register_globals):;<?php;session_start();;if;($username;==;'kevin';and;$password;==;'secret');{;$authorized;=;true;;session_register('authorized');;};?>;<?php;if;(!$authorized):;?>;<!--;顯示HTML表單以提示用戶登錄;-->;<?php;else:;?>;<!--;有安全要求的HTML內(nèi)容;-->;<?php;endif;;?>;和剛開始的程序一樣,這個程序也存在安全漏洞,在URL的最后加上?authorized=1可以繞過安全措施直接訪問頁面內(nèi)容。開發(fā)者可以將$authorized視為一個session變量而忽視了可以很容易地通過用戶輸入設(shè)置同樣的變量。;當我們增加了我們的特殊的數(shù)組(PHP;4.1)并關(guān)閉register_globals(PHP;4.2)后,我們的程序?qū)⑹沁@樣的:;<?php;session_start();;if;($username;==;'kevin';and;$password;==;'secret');$_SESSION['authorized'];=;true;;?>;<?php;if;(!$_SESSION['authorized']):;?>;<!--;顯示HTML表單以提示用戶登錄;-->;<?php;else:;?>;<!--;有安全要求的HTML內(nèi)容;-->;<?php;endif;;?>;是不是更加簡單了?你不再需要再將普通的變量注冊為一個session變量,你只需要直接設(shè)置session變量(在$_SESSION數(shù)組中),然后用同樣的方法使用它。程序變得更短了,而且對于什么變量是session變量也不會引起混亂!;總結(jié);在這篇文章中,我解釋了PHP腳本語言作出改變的深層原因。在PHP;4.1中,添加了一組特殊數(shù)據(jù)以訪問外部數(shù)據(jù)。這些數(shù)組可以在任何范圍內(nèi)調(diào)用,這使得外部數(shù)據(jù)的訪問更方便。在PHP;4.2中,register_globals被默認關(guān)閉以鼓勵使用這些數(shù)組以避免無經(jīng)驗的開發(fā)者編寫出不安全的PHP代碼。;
標簽: PHP
主站蜘蛛池模板: 国产成人影院在线观看 | 人妖欧美一区二区三区四区 | 久久久久久久综合色一本 | 日本肥老妇色xxxxx日本老妇 | 亚洲成a人v大片在线观看 | www.九九| 中国一级特黄大片毛片 | 亚洲性在线观看 | 中国老太卖淫播放毛片 | 欧美日韩国产在线观看一区二区三区 | 久久精品视频免费播放 | 美女黄视频在线观看 | 九九99在线视频 | 在线视频一区二区三区在线播放 | 亚洲第一网站免费视频 | 国产成人爱片免费观看视频 | 国产精品成人aaaaa网站 | 萌白酱福利视频 | 日本免费人成在线网站 | 成人精品视频一区二区三区 | 午夜不卡在线 | 美女双腿打开让男人桶爽网站 | 国产欧美精品一区二区 | 她也啪在线视频精品网站 | 和日本免费不卡在线v | 日韩在线二区 | 亚洲伊人色| 久久人视频 | 国产美女视频做爰 | 中国国产一国产一级毛片视频 | 中午字幕在线观看 | 日本不卡一区视频 | 99精品在线| 美国美女一级毛片免费全 | 国产在线成人精品 | 美女131爽爽爽做爰中文视频 | 亚洲综合精品一区二区三区中文 | 久热精品男人的天堂在线视频 | 国产成人免费高清在线观看 | 在线免费观看一区二区三区 | 99在线热视频只有精品免费 |