Filterung ist die Grundlage der Webanwendungssicherheit. Dabei handelt es sich um den Prozess, mit dem Sie die Legitimität Ihrer Daten überprüfen. Indem Sie sicherstellen, dass alle Daten bei der Eingabe gefiltert werden, können Sie verhindern, dass fehlerhafte (ungefilterte) Daten in Ihrem Programm misstraut und missbraucht werden. Die meisten Schwachstellen in beliebten PHP-Anwendungen resultieren letztlich aus einer unsachgemäßen Eingabebereinigung.
Mit dem Filtern von Eingaben meine ich drei verschiedene Schritte:
l Eingaben erkennen
l Eingaben filtern
l Zwischen gefilterten und verunreinigten Daten unterscheiden
Der Grund für die Identifizierung der Eingabe als erster Schritt besteht darin, dass Sie sie nicht richtig filtern können, wenn Sie nicht wissen, um was es sich handelt. Unter Input versteht man alle Daten, die von außen stammen. Beispielsweise ist alles, was vom Client gesendet wird, Eingabe, aber der Client ist nicht die einzige externe Datenquelle, auch andere Quellen wie Datenbanken und RSS-Feeds sind externe Datenquellen.
Die vom Benutzer eingegebenen Daten sind sehr einfach zu identifizieren. PHP verwendet zwei Super-Public-Arrays $_GET und $_POST zum Speichern von Benutzereingabedaten. Andere Eingaben sind viel schwieriger zu identifizieren; viele Elemente im $_SERVER-Array werden beispielsweise vom Client manipuliert. Es ist oft schwierig zu bestimmen, welche Elemente des $_SERVER-Arrays die Eingabe darstellen. Daher besteht der beste Ansatz darin, das gesamte Array als Eingabe zu behandeln.
In manchen Fällen hängt die Eingabe Ihrer Eingaben von Ihrer Sichtweise ab. Beispielsweise werden Sitzungsdaten auf dem Server gespeichert, und Sie können sich Sitzungsdaten möglicherweise nicht als externe Datenquelle vorstellen. Wenn Sie diese Ansicht beibehalten, können Sie die Sitzungsdaten in Ihrer Software speichern. Es ist ratsam, sich darüber im Klaren zu sein, dass die Sicherheit des Sitzungsorts an die Sicherheit der Software gebunden ist. Die gleiche Idee kann auf die Datenbank ausgeweitet werden. Sie können sie auch als Teil Ihrer Software betrachten.
Im Allgemeinen ist es sicherer, Sitzungsspeicherorte und Datenbanken als Eingabe zu behandeln, und dies ist der Ansatz, den ich bei der Entwicklung aller wichtigen PHP-Anwendungen empfehle.
Sobald die Eingabe erkannt wurde, können Sie sie filtern. Filtration ist ein eher formaler Begriff, der in alltäglichen Ausdrücken viele Synonyme hat, wie z. B. Verifizierung, Reinigung und Reinigung. Obwohl sich diese Begriffe geringfügig unterscheiden, beziehen sie sich alle auf denselben Prozess: Verhindern Sie, dass illegale Daten in Ihre Bewerbung gelangen.
Es gibt viele Möglichkeiten, Daten zu filtern, von denen einige sicherer sind. Der beste Weg ist, sich die Filterung als Inspektionsprozess vorzustellen. Bitte versuchen Sie nicht, illegale Daten mit guten Absichten zu korrigieren. Die Vergangenheit hat gezeigt, dass der Versuch, illegale Daten zu korrigieren, häufig zu Sicherheitslücken führt. Betrachten Sie beispielsweise den folgenden Ansatz, der versucht, Directory Spanning (Zugriff auf das obere Verzeichnis) zu verhindern.
CODE:
<?php $filename = str_replace('..', '.', $_POST['filename']); ?>
Können Sie sich vorstellen, wie $_POST['filename'] festgelegt werden sollte, damit $filename zum Pfad zur Benutzerpasswortdatei im Linux-System ../../etc/passwd wird?
Die Antwort ist einfach:
.../.../etc/passwd
Dieser spezifische Fehler kann wiederholt ersetzt werden, bis er nicht mehr gefunden wird:
CODE:
<?php $filename = $_POST['filename']; while (strpos($_POST['filename'], '..') != = FALSE) { $filename = str_replace('..', '.', $filename); } ?>
Natürlich ist die Funktion basename( ) kann die gesamte oben genannte Logik ersetzen und den Zweck sicherer erreichen. Der wichtige Punkt ist jedoch, dass jeder Versuch, illegale Daten zu korrigieren, zu potenziellen Fehlern führen und die Weiterleitung illegaler Daten ermöglichen kann. Eine einfache Überprüfung ist eine sicherere Option.
译注:这一点深有体会,在实际项目曾经遇到过这样一件事,是对一个用户注册和登录系统进行更改,客户希望用户名前后有空格就不能登录,结果修改时对用户登录程序进行了更改,用trim()函数把输入的用户名前后的空格去掉了(典型的好心办坏事),但是在注册时居然还是允许前后有空格!结果可想而知。
除了把过滤做为一个检查过程之外,你还可以在可能时用白名单方法。它是指你需要假定你正在检查的数据是非法的,除非你能证明它是合法的。换而言之,你宁可在小心上犯错。使用这个方法,一个错误只会导致你把合法的数据当成是非法的。尽管不想犯任何错误,但这样总比把非法数据当成合法数据要安全得多。通过减轻犯错引起的损失,你可以提高你的应用的安全性。尽管这个想法在理论上是很自然的,但历史证明,这是一个很有价值的方法。
如果你能正确可靠地识别和过滤输入,你的工作就基本完成了。最后一步是使用一个命名约定或其它可以帮助你正确和可靠地区分已过滤和被污染数据的方法。我推荐一个比较简单的命名约定,因为它可以同时用在面向过程和面向对象的编程中。我用的命名约定是把所有经过滤的数据放入一个叫$clean的数据中。你需要用两个重要的步骤来防止被污染数据的注入:
l 经常初始化$clean为一个空数组。
l 加入检查及阻止来自外部数据源的变量命名为clean,
实际上,只有初始化是至关紧要的,但是养成这样一个习惯也是很好的:把所有命名为clean的变量认为是你的已过滤数据数组。这一步骤合理地保证了$clean中只包括你有意保存进去的数据,你所要负责的只是不在$clean存在被污染数据。
为了巩固这些概念,考虑下面的表单,它允许用户选择三种颜色中的一种;
CODE:
<form action="process.php" method="POST"> Please select a color: <select name="color"> <option value="red">red</option> <option value="green">green</option> <option value="blue">blue</option> </select> <input type="submit" /> </form>
在处理这个表单的编程逻辑中,非常容易犯的错误是认为只能提交三个选择中的一个。在第二章中你将学到,客户端能提交任何数据作为$_POST['color']的值。为了正确地过滤数据,你需要用一个switch语句来进行:
CODE:
<?php $clean = array( ); switch($_POST['color']) { case 'red': case 'green': case 'blue': $clean['color'] = $_POST['color']; break; } ?>
本例中首先初始化了$clean为空数组以防止包含被污染的数据。一旦证明$_POST['color']是red, green, 或blue中的一个时,就会保存到$clean['color']变量中。因此,可以确信$clean['color']变量是合法的,从而在代码的其它部分使用它。当然,你还可以在switch结构中加入一个default分支以处理非法数据的情况。一种可能是再次显示表单并提示错误。特别小心不要试图为了友好而输出被污染的数据。
上面的方法对于过滤有一组已知的合法值的数据很有效,但是对于过滤有一组已知合法字符组成的数据时就没有什么帮助。例如,你可能需要一个用户名只能由字母及数字组成:
CODE:
<?php $clean = array( ); if (ctype_alnum($_POST['username'])) { $clean['username'] = $_POST['username']; } ?>
尽管在这种情况下可以用正则表达式,但使用PHP内置函数是更完美的。这些函数包含错误的可能性要比你自已写的代码出错的可能性要低得多,而且在过滤逻辑中的一个错误几乎就意味着一个安全漏洞。
以上就是PHP安全-过滤输入的内容,更多相关内容请关注PHP中文网(www.php.cn)!