(転送) PHP 4.2 で安全なスクリプトを作成しましょう!

セキュリティ|スクリプト

原著: Kevin Yank 転載元: www.linuxforum.net (再び開設おめでとうございます)

長い間、サーバーサイド スクリプト言語としての PHP の最大のセールス ポイントの 1 つは、グローバルなスクリプト言語を自動的に作成することでした。フォームから送信された値の変数。 PHP 4.1 では、PHP 作成者は送信されたデータにアクセスする代替手段を推奨しました。 PHP 4.2 では、その古い慣行が廃止されました。この記事で説明するように、このような変更を行う目的はセキュリティ上の理由です。 PHP がフォーム送信やその他のデータを処理する新しい方法を見て、そうすることでコードの安全性が高まる理由を説明します。

ここで何が問題ですか?

次の PHP スクリプトを見てください。これは、入力されたユーザー名とパスワードが正しい場合に Web ページへのアクセスを承認するために使用されます:
// ユーザー名とパスワードを確認します
if ($username == ' kevin' $password == 'secret')
$authorized = true;

;

ユーザー名とパスワードを入力してください:

フォーム action=" ;input type="text" name="ユーザー名" />

パスワード:
type="submit" />

; ?>
OK、読者の約半数は「そんなバカなことはしないよ！」と軽蔑するでしょうが、「大丈夫、大丈夫」と思う読者もたくさんいると思います。 「こうやって書きます！」 もちろん、この質問（「PHP とは何ですか？」）で混乱する人も少数はいるでしょう。 PHP は、初心者が短期間で使い方を学べる「優れた簡単な」スクリプト言語になるように設計されており、初心者が上記の間違いを犯すことも避けられます。
前の質問に戻りますが、上記のコードの問題は、正しいユーザー名とパスワードを入力しなくても簡単にアクセスできることです。ブラウザのアドレスバーの最後に ?authorized=1 を追加するだけです。 PHP はフォームの送信、URL クエリ文字列、Cookie など、送信された値ごとに変数を自動的に作成するため、$authorized が 1 に設定され、権限のないユーザーがセキュリティ制限を超える可能性があります。
それでは、この問題を簡単に解決するにはどうすればよいでしょうか?プログラムの先頭で $authorized をデフォルトで false に設定するだけです。この問題はもう存在しません。 $authorized は完全にプログラム コード内で作成される変数ですが、なぜ開発者は悪意のあるユーザーが送信したすべての変数について心配する必要があるのでしょうか。

PHP 4.2 ではどのような変更が加えられましたか?

PHP 4.2 では、新しい PHP インストールの register_globals オプションはデフォルトでオフになっているため、EGPCS 値 (EGPCS は、Environment、Get、Post、Cookies、Server の略語です。これは、PHP の外部変数ソースの全範囲です)はグローバル変数として作成されません。もちろん、このオプションは手動でオンにすることもできますが、PHP 開発者はオフにすることをお勧めします。その意図を実装するには、他のメソッドを使用してこれらの値を取得する必要があります。
PHP 4.1 以降、EGPCS 値は指定された配列のセットから取得できます:
$_ENV -- システム環境変数が含まれます
$_GET -- クエリ文字列および GET メソッドで送信されたフォーム内の変数が含まれます 変数
$_POST -- POST として送信されたフォームの変数が含まれます
$_COOKIE -- すべての Cookie 変数が含まれます
$_SERVER -- HTTP_USER_AGENT などのサーバー変数が含まれます
$_REQUEST -- $_GET、$_POST、$_COOKIE が含まれます
$_SESSION -- 登録されているすべてのセッション変数が含まれます
PHP 4.1 より前、開発者が register_globals オプション (PHP のパフォーマンスを向上させる方法としても考えられていました) をオフにした場合、$HTTP_GET_VARS などの変数を取得する必要があります これらの変数を取得するには迷惑な名前を使用する必要があります。これらの新しい変数名は短いだけでなく、他の利点もあります。
まず、上記のコードを PHP 4.2 で書き直してみましょう (つまり、 register_globals オプションをオフにします)。 ];

// ユーザー名とパスワードを確認します
if ($username == 'kevin' and $password == 'secret')
$authorized = true
?>?php if (!$authorized) : ?>

ユーザー名とパスワードを入力してください:

ユーザー名:

パスワード:

?php else: ?>

ご覧のとおり、コードの先頭で行う必要があるのは次のとおりです。次の 2 行を追加します:
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
ユーザー名とパスワードをユーザーから取得します。 $_REQUEST はこれらの値を配列します。この配列を使用すると、ユーザーは配信方法を自由に選択できます。URL クエリ文字列 (たとえば、ブックマークの作成時にユーザーが資格情報を自動的に入力できるようにする)、フォーム送信、または Cookie を使用します。証明書の送信をフォーム経由 (より正確には HTTP POST リクエスト経由) のみに制限したい場合は、$_POST 配列を使用できます。
$username = $_POST['username'];
$password = $_POST[ 'password '];
これら 2 つの変数を「導入する」ことを除いて、プログラム コードに変更はありません。 register_globals オプションをオフにするだけで、開発者はどのデータが外部 (信頼できない) ソースからのものかをよりよく理解できるようになります。
ここには別の小さな問題があることに注意してください。PHP のデフォルトの error_reporting 設定は依然として E_ALL および ~E_NOTICE であるため、「ユーザー名」と「パスワード」の 2 つの値が送信されていない場合は、それらを取得してみてください。 $_REQUEST 配列または $_POST 配列からこれら 2 つの値を取得しても、エラー メッセージは発生しません。 PHP プログラムで厳密なエラー チェックが必要な場合は、最初にこれらの変数をチェックするためのコードを追加する必要もあります。

しかし、これはより多くのインプットを意味するのでしょうか?

はい、上記のような単純なプログラムでは、PHP 4.2 を使用すると、入力の量が増えることがよくあります。しかし、明るい面も見てみましょう - 結局のところ、プログラムはより安全です。
しかし真面目な話、PHP の設計者はあなたの痛みを完全に無視していたわけではありません。これらの新しい配列には、他の PHP 変数にはない特別な機能があり、完全なグローバル変数です。これはどのように役立ちますか?まず例を詳しく見てみましょう。
サイト内の複数のページでユーザー名/パスワード認証を有効にするために、ユーザー認証プログラムをインクルード ファイル (protectme.php) に書き込みます:
function authorize_user ($authuser) , $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// ユーザー名とパスワードを確認します
if ($username != $authuser または $password ! = $authpass):
?>

ユーザー名とパスワードを入力してください:

;?=$PHP_SELF?>" method="POST">

ユーザー名:
パスワード: < input type="password" name="password" />


exit ();
}
?>
authorize_user( 'kevin','secret'); ?>
とてもシンプルでわかりやすいですね。ここで、自分の目と経験をテストしてみましょう。authorize_user 関数に何が欠けているのでしょうか?
$_POST は関数内でグローバル変数として宣言されていません! php 4.0 では、 register_globals がオンになっている場合、関数内で $username 変数と $password 変数を取得するコード行を追加する必要があります:
function authorize_user($authuser, $authpass)
{
global $username, $password ;
.. .
PHP では、同様の構文を持つ他の言語とは異なり、関数の外部にある変数は、グローバル スコープからのものであることを指定するために、上で説明したように行を追加する必要があります。
PHP 4.0 では、セキュリティを提供するために register_globals がオフになっている場合、$HTTP_POST_VARS 配列を使用してフォームによって送信された値を取得できますが、この配列をグローバル スコープからインポートする必要があります:
function authorize_user($ authuser, $authpass )
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
ただし、PHP 4.1 以降のバージョンでは、特別な $_POST 変数が使用されます。 (および上記の他の変数) はすべてのスコープで使用できます。これが、関数内で $_POST 変数をグローバル変数として宣言する必要がない理由です。
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $ _POST[' パスワード'];

これはセッションにどのような影響を与えますか?

特別な $_SESSION 配列の導入は、実際にセッション コードを簡素化するのに役立ちます。セッション変数をグローバル変数として宣言し、どの変数が登録されているかを追跡する代わりに、$_SESSION['varname'] からすべてのセッション変数を簡単に参照できるようになりました。
次に、ユーザー認証の別の例を見てみましょう。今回は、セッションを使用して、サイトに滞在し続けるユーザーが認証されたことを示します。まず、PHP バージョン 4.0 (register_globals が有効) を見てみましょう:
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true ;
session_register('authorized');
?>

URL の最後に ?authorized=1 を追加すると、セキュリティ対策を回避してページのコンテンツに直接アクセスできます。開発者は $authorized をセッション変数として扱い、同じ変数がユーザー入力によって簡単に設定できることを無視できます。
特別な配列 (PHP 4.1) を追加し、 register_globals (PHP 4.2) をオフにすると、プログラムは次のようになります:
session_start()
if ($username == 'kevin ' and $password == 'secret')
$_SESSION['authorized'] = true;
ユーザーにログインを促すフォーム -->

もっと簡単じゃないですか？通常の変数をセッション変数として登録する必要はなくなり、セッション変数を直接 ($_SESSION 配列内で) 設定し、同じ方法で使用するだけで済みます。プログラムが短くなり、どの変数がセッション変数であるかについて混乱が少なくなります。

まとめ

この記事では、PHP スクリプト言語の変更の根本的な理由について説明しました。 PHP 4.1 では、外部データにアクセスするために特別なデータ セットが追加されました。これらの配列は任意のスコープで呼び出すことができるため、外部データへのアクセスがより便利になります。 PHP 4.2 では、経験の浅い開発者が安全でない PHP コードを作成することを避けるために、これらの配列の使用を奨励するために、 register_globals はデフォルトでオフになっています。


--------------------
皆さんのお役に立つと思います〜