セキュリティのヒント: PHP 4.2 を使用した安全なスクリプトの作成

在很长一段时间内，PHP作为服务器端脚本语言的最大卖点之一就是会为从表单提交的值自动建立一个全局变量。在PHP 4.1中，PHP的制作者们推荐了一个访问提交数据的替代手段。在PHP 4.2中，他们取消了那种老的做法！正如我将在这篇文章中解释的那样，作出这样的变化的目的是出于安全性的考虑。我们将研究PHP在处理表单提交及其它数据时的新的做法，并说明为什么这样做会提高代码的安全性。

这里有什么错误？

看看下面的这段PHP脚本，它用来在输入的用户名及口令正确时授权访问一个Web页面：
// 检查用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>

Please enter your username and password:

Username:

Password:

OK，我相信大约半数的读者会不屑的说“太愚蠢了-- 我不会犯这样的错误的！”但是我保证有很多的读者会想“嗨，没什么问题啊，我也会这么写的！”当然还会有少数人会对这个问题感到困惑(“什么是PHP？”)。PHP被设计为一个“好的而且容易的”脚本语言，初学者可以在很短的时间内学会使用它；它也应该能够避免初学者犯上面的错误。
再回到刚才的问题，上面的代码中存在的问题是你可以很容易地获得访问的权力，而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量 -- 不论是来自动一个提交的表单、URL查询字符串还是一个cookie -- 这会将$authorized设置为1，这样一个未授权的用户也可以突破安全限制。
那么，怎么简单地解决这个问题呢？只要在程序的开头将$authorized默认设置为false。这个问题就不存在了！$authorized是一个完全在程序代码中创建的变量；但是为什么开发者得为每一个恶意的用户提交的变量担心呢？

PHP 4.2作了什么改变？

在PHP 4.2中，新安装的PHP中的register_globals选项默认为关闭，因此EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中外部变量来源的全部范围)不会被作为全局变量来创建。当然，这个选项还可以通过手工来开启，但是PHP的开发者推荐你将其关闭。要贯彻他们的意图，你需要使用其它的方法来获取这些值。
从PHP 4.1开始，EGPCS值就可以从一组指定的数组中获得：
$_ENV -- 包含系统环境变量
$_GET -- 包含查询字符串中的变量，以及提交方法为GET的表单中的变量
$_POST -- 包含提交方式为POST的表单中的变量
$_COOKIE -- 包含所有cookie变量
$_SERVER -- 包含服务器变量，例如HTTP_USER_AGENT
$_REQUEST -- 包含$_GET、$_POST和$_COOKIE的全部内容
$_SESSION -- 包含所有已注册的session变量
在PHP 4.1之前，当开发者关闭register_globals选项(这也被考虑为提高PHP性能的一种方法)后，必须使用诸如$HTTP_GET_VARS这样的令人讨厌的名字来获取这些变量。这些新的变量名不仅仅短，而且它们还有其他优点。
首先，让我们在PHP 4.2中(也就是说关闭register_globals 选项)重写上面提到的代码：
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];

// 检查用户名和口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>

Please enter your username and password:

Username:

Password:

正如你看到的，我所需要做的只是在代码的开始增加下面两行：
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
因为我们希望用户名和密码是由用户提交的，所以我们从$_REQUEST数组中获取这些值。使用这个数组使得用户可以自由选择传递方式：通过URL查询字符串(例如允许用户创建书签时自动输入他们的证书)、通过一个提交的表单或者是通过一个cookie。如果你想要限制只能通过表单提交证书(更精确地说，是通过HTTP POST请求)，你可以使用$_POST数组：
$username = $_POST['username'];
$password = $_POST['password'];
除了“引入”这两个变量以外，程序代码没有任何改变。简单地关闭register_globals选项促使开发者更进一步了解哪些数据是来自外部的(不可信任的)资源。
请注意这里还有一个小问题：PHP中默认的error_reporting设置仍然是E_ALL & ~E_NOTICE，因此如果“username”和“password”这两个值没有被提交，试图从$_REQUEST数组或$_POST数组中获得这两个值并不会招致任何错误信息。如晨不你的PHP程序需要严格的错误检查，你还需要增加一些代码以首先检查这些变量。

但是这是不是意味着更多的输入？

是的，在象上面这样的简单程序中，使用PHP 4.2常常会增加输入量。但是，还是看看光明的一面吧 -- 你的程序终究是更安全了！
不过认真的说，PHP的设计者并没有完全忽视你的痛苦。在这些新数组中有一个特殊的其它所PHP变量都不具备的特征，它们是完全的全局变量。这对你有什么帮助呢？让我们先对我们的示例进行一下扩充。
为了使得站点中的多个页面可以使用用户名/口令论证，我们将我们用户认证程序写到一个include文件(protectme.php)中：
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// 检查用户名和口令
if ($username != $authuser or $password != $authpass):
?>

Please enter your username and password:

Username:

Password:

exit();
endif;
}
?>
现在，我们刚才的页面看上去将是这样的：
require('protectme.php');
authorize_user('kevin','secret');
?>

很简单，很清晰明了，对不对？现在是考验你的眼力和经验的时候了 -- 在authorize_user 函数中少了什么？
在函数中没有申明$_POST是一个全局变量！在php 4.0中，当register_globals开启时，你需要增加一行代码以在函数中获取$username和$password变量：
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
在PHP中，和其它具有类似语法的语言不同，函数外的变量在函数中不能自动获得，你需要象上面所说明的那样增加一行以指定其来自global范围。
在PHP 4.0中，当关闭register_globals以提供安全性时，你可以使用$HTTP_POST_VARS数组以获得你的表单提交的值，但是你还是需要从全局范围导入这个数组：
function authorize_user($authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
$password = $HTTP_POST_VARS['password'];
但是在PHP 4.1及以后的版本中，特殊的$_POST变量(以及上面提到的其它变量)可以在所有范围内使用。这就是不需要在函数中申明$_POST变量是一个全局变量的原因：
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];

这对session有什么影响？

特別な $_SESSION 配列の導入は、実際にセッション コードを簡素化するのに役立ちます。セッション変数をグローバル変数として宣言し、どの変数が登録されているかを追跡する代わりに、$_SESSION['varname'] からすべてのセッション変数を簡単に参照できるようになりました。
次に、ユーザー認証の別の例を見てみましょう。今回は、セッションを使用して、サイトに滞在し続けるユーザーが認証されたことを示します。まず、PHP 4.0 バージョン (register_globals がオンになっている) を見てみましょう:
session_start();
if ($username == 'kevin' and $password == ' Secret')
{
$authorized = true;
session_register('authorized');
}
?>





最初のプログラムと同様に、このプログラムにもセキュリティ上の脆弱性があり、URL の末尾に ?authorized=1 を追加すると、セキュリティ対策を回避して直接アクセスできます。ページのコンテンツ。開発者は $authorized をセッション変数として扱い、同じ変数がユーザー入力を通じて簡単に設定できることを無視できます。
特別な配列 (PHP 4.1) を追加し、 register_globals (PHP 4.2) をオフにすると、プログラムは次のようになります:
session_start();
if ($username) == 'kevin' と $password == 'secret')
$_SESSION['authorized'] = true;
?>





もっと簡単ですか?通常の変数をセッション変数として登録する必要はなくなり、セッション変数を直接 ($_SESSION 配列内で) 設定し、同じ方法で使用するだけで済みます。プログラムが短くなり、どの変数がセッション変数であるかについて混乱が少なくなります。

概要

この記事では、PHP スクリプト言語の変更の根本的な理由について説明しました。 PHP 4.1 では、外部データにアクセスするために特別なデータ セットが追加されました。これらの配列は任意のスコープで呼び出すことができるため、外部データへのアクセスがより便利になります。 PHP 4.2 では、経験の浅い開発者が安全でない PHP コードを作成することを避けるために、これらの配列の使用を奨励するために、 register_globals はデフォルトでオフになっています。