PHP_PHP チュートリアルを使用して安全なスクリプトコードを作成する-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP_PHP チュートリアルを使用して安全なスクリプトコードを作成する

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:20 PM

php コード練習するキャンセル存在する安全性記事使用の脚本

PHP 4.2 では、その古い慣習が廃止されました。この記事で説明するように、このような変更を行う目的はセキュリティ上の理由です。 PHP がフォーム送信やその他のデータを処理する新しい方法を見て、そうすることでコードの安全性が高まる理由を説明します。

ここで何が問題ですか?

次の PHP スクリプトを見てください。これは、入力されたユーザー名とパスワードが正しい場合に Web ページへのアクセスを承認するために使用されます:

コードをコピーしますコードは次のとおりです:

// ユーザー名とパスワードを確認します
if ($username == 'kevin' and $password == 'secret')
$authorized = true
?>
;

ユーザー名とパスワードを入力してください:

前の質問に戻りますが、上記のコードの問題は、正しいユーザー名とパスワードを入力しなくても簡単にアクセスできることです。ブラウザのアドレスバーの最後に ?authorized=1 を追加するだけです。 PHP はフォームの送信、URL クエリ文字列、Cookie など、送信された値ごとに変数を自動的に作成するため、$authorized が 1 に設定され、権限のないユーザーがセキュリティ制限を超える可能性があります。
それでは、この問題を簡単に解決するにはどうすればよいでしょうか?プログラムの先頭で $authorized をデフォルトで false に設定するだけです。この問題はもう存在しません。 $authorized は完全にプログラムコード内で作成される変数ですが、なぜ開発者は悪意のあるユーザーが送信したすべての変数について心配する必要があるのでしょうか。

PHP 4.2 ではどのような変更が加えられましたか?

PHP 4.2 では、新しい PHP インストールの register_globals オプションはデフォルトでオフになっているため、EGPCS 値 (EGPCS は、Environment、Get、Post、Cookies、Server の略語です。これは、PHP の外部変数ソースの全範囲です)はグローバル変数として作成されません。もちろん、このオプションは手動でオンにすることもできますが、PHP 開発者はオフにすることをお勧めします。その意図を実装するには、他のメソッドを使用してこれらの値を取得する必要があります。
PHP 4.1 以降、EGPCS 値は指定された配列のセットから取得できます:
$_ENV -- システム環境変数が含まれます
$_GET -- クエリ文字列および GET メソッドで送信されたフォーム内の変数が含まれます変数
$_POST -- POST として送信されたフォームの変数が含まれます
$_COOKIE -- すべての Cookie 変数が含まれます
$_SERVER -- HTTP_USER_AGENT などのサーバー変数が含まれます
$_REQUEST -- $_GET、$_POST、$_COOKIE が含まれます
$_SESSION -- 登録されているすべてのセッション変数が含まれます
PHP 4.1 より前、開発者が register_globals オプション (これは PHP のパフォーマンスを向上させる方法とも考えられていました) をオフにしたとき、これらの変数を取得するには $HTTP_GET_VARS のような迷惑な名前を使用する必要がありました。これらの新しい変数名は短いだけでなく、他の利点もあります。
まず、上記のコードを PHP 4.2 で書き直してみましょう (つまり、 register_globals オプションをオフにします):

コードをコピーしますコードは次のとおりです:

$username = $_REQUEST['username'];
$password = $_REQUEST['password'];

// ユーザー名とパスワードを確認します
if ($username == 'kevin' and $パスワード == '秘密')
$authorized = true;
許可されていないユーザーはここでプロンプトが表示されます -> ;p>ユーザー名とパスワードを入力してください:

ユーザー名:

パスワード:

ご覧のとおり、コードの先頭に次の 2 行を追加するだけです:
$username = $_REQUEST['username'];
$password = $_REQUEST['password ']; ;

ユーザー名とパスワードをユーザーに送信してもらいたいため、これらの値を $_REQUEST 配列から取得します。この配列を使用すると、ユーザーは配信方法を自由に選択できます。URL クエリ文字列 (たとえば、ブックマークの作成時にユーザーが資格情報を自動的に入力できるようにする)、フォーム送信、または Cookie を使用します。証明書の送信をフォーム経由 (より正確には HTTP POST リクエスト経由) のみに制限したい場合は、$_POST 配列を使用できます。
$username = $_POST['username'];
$password = $_POST[ 'password '];
これら 2 つの変数を「導入する」ことを除いて、プログラムコードに変更はありません。 register_globals オプションをオフにするだけで、開発者はどのデータが外部 (信頼できない) ソースからのものかをよりよく理解できるようになります。
ここには別の小さな問題があることに注意してください。PHP のデフォルトの error_reporting 設定は依然として E_ALL および ~E_NOTICE であるため、「ユーザー名」と「パスワード」の 2 つの値が送信されていない場合は、それらを取得してみてください。 $_REQUEST 配列または $_POST 配列からこれら 2 つの値を取得しても、エラーメッセージは発生しません。 PHP プログラムで厳密なエラーチェックが必要な場合は、最初にこれらの変数をチェックするためのコードを追加する必要もあります。

しかし、これはより多くのインプットを意味するのでしょうか?

はい、上記のような単純なプログラムでは、PHP 4.2 を使用すると、入力の量が増えることがよくあります。しかし、明るい面も見てみましょう - 結局のところ、プログラムはより安全です。
しかし真面目な話、PHP の設計者はあなたの痛みを完全に無視していたわけではありません。これらの新しい配列には、他の PHP 変数にはない特別な機能があり、完全なグローバル変数です。これはどのように役に立ちますか?まず例を詳しく見てみましょう。
サイト内の複数のページでユーザー名/パスワード引数を使用できるようにするには、ユーザー認証プログラムをインクルードファイル (protectme.php) に書き込みます:

コードをコピーします

コードは次のとおりです: < ;?php /*protectme.php */ function authorize_user($authuser, $authpass)

{

$username = $_POST['username']
$password = $_POST['password']; / ユーザー名とパスワードを確認してください
if ($username != $authuser または $password != $authpass):
を入力してくださいユーザー名とパスワード:

endif;
コードをコピーします

コードは次のとおりです:
authorize_user( 「ケビン」、「秘密」

;
とてもシンプルで明確ですよね。ここで、自分の目と経験をテストしてみましょう。authorize_user 関数に何が欠けているのでしょうか?
$_POST は関数内でグローバル変数として宣言されていません! php 4.0 では、 register_globals がオンになっている場合、関数内で $username 変数と $password 変数を取得するコード行を追加する必要があります:
function authorize_user($authuser, $authpass)
{
global $username, $password ;
.. .
PHP では、同様の構文を持つ他の言語とは異なり、関数の外部にある変数は、グローバルスコープからのものであることを指定するために、上で説明したように行を追加する必要があります。
PHP 4.0 では、セキュリティを提供するために register_globals がオフになっている場合、$HTTP_POST_VARS 配列を使用してフォームによって送信された値を取得できますが、この配列をグローバルスコープからインポートする必要があります:
function authorize_user($ authuser, $authpass )
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
ただし、PHP 4.1 以降のバージョンでは、特別な $_POST 変数が使用されます。 (および上記の他の変数) はすべてのスコープで使用できます。これが、関数内で $_POST 変数をグローバル変数として宣言する必要がない理由です。
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $ _POST[' パスワード'];

これはセッションにどのような影響を与えますか?

特別な $_SESSION 配列の導入は、実際にセッションコードを簡素化するのに役立ちます。セッション変数をグローバル変数として宣言し、どの変数が登録されているかを追跡する代わりに、$_SESSION['varname'] からすべてのセッション変数を簡単に参照できるようになりました。
次に、ユーザー認証の別の例を見てみましょう。今回は、セッションを使用して、サイトに滞在し続けるユーザーが認証されたことを示します。まず、PHP バージョン 4.0 ( register_globals を有効にする) を見てみましょう。

コードをコピーコードは次のとおりです。

session_start()
if ($username == 'kevin ' および $password == 'secret')
{
$authorized = true;
?>?php if (!$authorized): ?> !-- ユーザーにログインを促す HTML フォームを表示します -->

そして、最初のプログラムと同様に、このプログラムにもセキュリティ上の脆弱性があり、URL の末尾に ?authorized=1 を追加すると、セキュリティ対策を回避してページのコンテンツに直接アクセスできます。開発者は $authorized をセッション変数として扱い、同じ変数がユーザー入力によって簡単に設定できることを無視できます。
特別な配列 (PHP 4.1) を追加し、register_globals (PHP 4.2) をオフにすると、プログラムは次のようになります:

コードをコピー

コードは次のとおりです:

session_start (); if ($username == 'kevin' および $password == 'secret') $_SESSION['authorized'] = true ?>

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

ホットトピック

Gmailメールのログイン入り口はどこですか？

7675

CakePHP チュートリアル

1393

C# チュートリアル

1207

Steamのアカウント名の形式は何ですか

Win11 Activation Key Permanent

Related knowledge

Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレードガイド Dec 24, 2024 pm 04:42 PM

PHP 8.4 では、いくつかの新機能、セキュリティの改善、パフォーマンスの改善が行われ、かなりの量の機能の非推奨と削除が行われています。このガイドでは、Ubuntu、Debian、またはその派生版に PHP 8.4 をインストールする方法、または PHP 8.4 にアップグレードする方法について説明します。

今まで知らなかったことを後悔している 7 つの PHP 関数 Nov 13, 2024 am 09:42 AM

あなたが経験豊富な PHP 開発者であれば、すでにそこにいて、すでにそれを行っていると感じているかもしれません。あなたは、運用を達成するために、かなりの数のアプリケーションを開発し、数百万行のコードをデバッグし、大量のスクリプトを微調整してきました。

PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法 Dec 20, 2024 am 11:31 AM

Visual Studio Code (VS Code とも呼ばれる) は、すべての主要なオペレーティングシステムで利用できる無料のソースコードエディター (統合開発環境 (IDE)) です。多くのプログラミング言語の拡張機能の大規模なコレクションを備えた VS Code は、

JSON Web Tokens（JWT）とPHP APIでのユースケースを説明してください。 Apr 05, 2025 am 12:04 AM

JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。

PHPでHTML/XMLを解析および処理するにはどうすればよいですか？ Feb 07, 2025 am 11:57 AM

このチュートリアルでは、PHPを使用してXMLドキュメントを効率的に処理する方法を示しています。 XML（拡張可能なマークアップ言語）は、人間の読みやすさとマシン解析の両方に合わせて設計された多用途のテキストベースのマークアップ言語です。一般的にデータストレージに使用されます

母音を文字列にカウントするPHPプログラム Feb 07, 2025 pm 12:12 PM

文字列は、文字、数字、シンボルを含む一連の文字です。このチュートリアルでは、さまざまな方法を使用してPHPの特定の文字列内の母音の数を計算する方法を学びます。英語の母音は、a、e、i、o、u、そしてそれらは大文字または小文字である可能性があります。母音とは何ですか？母音は、特定の発音を表すアルファベットのある文字です。大文字と小文字など、英語には5つの母音があります。 a、e、i、o、u 例1 入力：string = "tutorialspoint" 出力：6 説明する文字列「TutorialSpoint」の母音は、u、o、i、a、o、iです。合計で6元があります

PHPでの後期静的結合を説明します（静的：:)。 Apr 03, 2025 am 12:04 AM

静的結合（静的：:) PHPで後期静的結合（LSB）を実装し、クラスを定義するのではなく、静的コンテキストで呼び出しクラスを参照できるようにします。 1）解析プロセスは実行時に実行されます。2）継承関係のコールクラスを検索します。3）パフォーマンスオーバーヘッドをもたらす可能性があります。

PHPマジックメソッド（__construct、__destruct、__call、__get、__setなど）とは何ですか？ Apr 03, 2025 am 12:03 AM

PHPの魔法の方法は何ですか？ PHPの魔法の方法には次のものが含まれます。1。\ _ \ _コンストラクト、オブジェクトの初期化に使用されます。 2。\ _ \ _リソースのクリーンアップに使用される破壊。 3。\ _ \ _呼び出し、存在しないメソッド呼び出しを処理します。 4。\ _ \ _ get、dynamic属性アクセスを実装します。 5。\ _ \ _セット、動的属性設定を実装します。これらの方法は、特定の状況で自動的に呼び出され、コードの柔軟性と効率を向上させます。

See all articles

PHP_PHP チュートリアルを使用して安全なスクリプト コードを作成する