PHP 4.2 を使用した安全なスクリプトの作成_PHP チュートリアル-PHPチュートリアル-php.cn

原著: Kevin Yank 転載元: www.linuxforum.net (再び開設おめでとうございます)

長い間、サーバーサイドスクリプト言語としての PHP の最大のセールスポイントの 1 つは、グローバルなスクリプト言語を自動的に作成することです。フォームから送信された値の変数。 PHP 4.1 では、PHP の作成者は、送信されたデータにアクセスするための代替手段を推奨しました。 PHP 4.2 では、その古い慣習が廃止されました。この記事で説明するように、このような変更を行う目的はセキュリティ上の理由です。 PHP がフォーム送信やその他のデータを処理する新しい方法を見て、そうすることでコードの安全性が高まる理由を説明します。

ここで何が問題ですか?

次の PHP スクリプトを見てください。これは、入力されたユーザー名とパスワードが正しい場合に Web ページへのアクセスを承認するために使用されます:
// ユーザー名とパスワードを確認します
if ($username == ' kevin' and $password == 'secret')
$authorized = true;

; ?>
OK、読者の約半数は「そんなバカなことはしないよ！」と軽蔑するでしょうが、多くの読者はこう思うでしょう。もちろん、この質問 (「PHP とは何ですか?」) について混乱する人もいるでしょう。 PHP は、初心者が短期間で使い方を習得できる「優れた簡単な」スクリプト言語となるように設計されており、初心者が上記の間違いを犯すことも防ぐことができます。
前の質問に戻りますが、上記のコードの問題は、正しいユーザー名とパスワードを入力しなくても簡単にアクセスできることです。ブラウザのアドレスバーの最後に ?authorized=1 を追加するだけです。 PHP はフォームの送信、URL クエリ文字列、Cookie など、送信された値ごとに変数を自動的に作成するため、$authorized が 1 に設定され、権限のないユーザーがセキュリティ制限を超える可能性があります。
それでは、この問題を簡単に解決するにはどうすればよいでしょうか?プログラムの先頭で $authorized をデフォルトで false に設定するだけです。この問題はもう存在しません。 $authorized は完全にプログラムコード内で作成される変数ですが、なぜ開発者は悪意のあるユーザーが送信したすべての変数について心配する必要があるのでしょうか。

PHP 4.2 ではどのような変更が加えられましたか?

PHP 4.2 では、新しくインストールされた PHP の register_globals オプションはデフォルトでオフになっているため、EGPCS 値 (EGPCS は、Environment、Get、Post、Cookies、Server の略称です。これは、 PHP) はグローバル変数として作成されません。もちろん、このオプションは手動でオンにすることもできますが、PHP 開発者はオフにすることをお勧めします。その意図を実装するには、他のメソッドを使用してこれらの値を取得する必要があります。
PHP 4.1 以降、EGPCS 値は指定された配列のセットから取得できます:
$_ENV -- システム環境変数が含まれます
$_GET -- クエリ文字列内の変数、および送信メソッドが GET 変数のフォームに変数が含まれます
$_POST -- POST として送信されたフォーム内の変数が含まれます
$_COOKIE -- すべての Cookie 変数が含まれます
$_SERVER -- HTTP_USER_AGENT などのサーバー変数が含まれます
$_REQUEST -- $_GET、$_POST、$_COOKIE が含まれます完全な内容
$_SESSION の -- 登録されているすべてのセッション変数が含まれます
PHP 4.1 より前では、開発者が register_globals オプション (PHP パフォーマンスを向上させる方法とも考えられていました) をオフにした場合、これらを取得するには迷惑な名前などの $HTTP_GET_VARS を使用する必要がありました。変数。これらの新しい変数名は短いだけでなく、他の利点もあります。
まず、上記のコードを PHP 4.2 で書き直してみましょう (つまり、 register_globals オプションをオフにします):
$username = $_REQUEST['username'];
$password = $_REQUEST['password' ];

//ユーザー名とパスワードを確認します
if ($username == 'kevin' and $password == 'secret')
$authorized = true
?>?php if (!$authorized) : ?>

ユーザー名とパスワードを入力してください:

< ;!-- セキュリティ要件のある HTML コンテンツ -->
ご覧のとおり、コードの先頭に次の 2 行を追加するだけです。 = $_REQUEST['username'];
$password = $_REQUEST['password'];
ユーザー名とパスワードをユーザーが送信する必要があるため、これらの値は $_REQUEST 配列から取得します。この配列を使用すると、ユーザーは配信方法を自由に選択できます。URL クエリ文字列 (たとえば、ブックマークの作成時にユーザーが資格情報を自動的に入力できるようにする)、フォーム送信、または Cookie を使用します。証明書の送信をフォーム経由 (より正確には HTTP POST リクエスト経由) のみに制限したい場合は、$_POST 配列を使用できます。
$username = $_POST['username'];
$password = $_POST[ 'password '];
これら 2 つの変数を「導入する」ことを除いて、プログラムコードに変更はありません。 register_globals オプションをオフにするだけで、開発者はどのデータが外部 (信頼できない) ソースからのものかをよりよく理解できるようになります。
ここには別の小さな問題があることに注意してください。PHP のデフォルトの error_reporting 設定は依然として E_ALL および ~E_NOTICE であるため、「ユーザー名」と「パスワード」の 2 つの値が送信されていない場合は、それらを取得してみてください。 $_REQUEST 配列または $_POST 配列からこれら 2 つの値を取得しても、エラーメッセージは発生しません。 PHP プログラムで厳密なエラーチェックが必要な場合は、最初にこれらの変数をチェックするためのコードを追加する必要もあります。

しかし、これはより多くのインプットを意味するのでしょうか?

はい、上記のような単純なプログラムでは、PHP 4.2 を使用すると、入力の量が増えることがよくあります。しかし、明るい面も見てみましょう。結局のところ、プログラムはより安全です。
しかし真面目な話、PHP の設計者はあなたの痛みを完全に無視していたわけではありません。これらの新しい配列には、他の PHP 変数にはない特別な機能があり、完全なグローバル変数です。これはどのように役立ちますか?まず例を詳しく見てみましょう。
サイト内の複数のページでユーザー名/パスワード引数を使用できるようにするために、ユーザー認証プログラムをインクルードファイル (protectme.php) に書き込みます:
function authorize_user ($ authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password']
// ユーザー名とパスワードを確認します
if ($username != $authuser または $password != $authpass):
?>

ユーザー名とパスワードを入力してください:

" method="POST">

ユーザー名:
パスワード: < ;input type="password" name="password" />

exit();
}
?>
今作成したページは次のようになります:
authorize_user( 'kevin','secret ');
?>
とてもシンプルでわかりやすいですね。さあ、あなたの視力と経験をテストしてみましょう。authorize_user 関数に何が足りないでしょうか?
$_POST は関数内でグローバル変数として宣言されていません! php 4.0 では、 register_globals がオンになっている場合、関数内で $username 変数と $password 変数を取得するコード行を追加する必要があります:
function authorize_user($authuser, $authpass)
{
global $username, $password ;
.. .
PHP では、同様の構文を持つ他の言語とは異なり、関数の外部にある変数は、グローバルスコープからのものであることを指定するために、上で説明したように行を追加する必要があります。
PHP 4.0 では、セキュリティを提供するために register_globals がオフになっている場合、$HTTP_POST_VARS 配列を使用してフォームによって送信された値を取得できますが、この配列をグローバルスコープからインポートする必要があります:
function authorize_user($ authuser, $authpass )
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
ただし、PHP 4.1 以降のバージョンでは、特別な $_POST 変数が使用されます。 (および上記の他の変数) はすべてのスコープで使用できます。これが、関数内で $_POST 変数をグローバル変数として宣言する必要がない理由です。
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $ _POST[' パスワード'];

これはセッションにどのような影響を与えますか?

特別な $_SESSION 配列の導入は、実際にセッションコードを簡素化するのに役立ちます。セッション変数をグローバル変数として宣言し、どの変数が登録されているかを追跡する代わりに、$_SESSION['varname'] からすべてのセッション変数を簡単に参照できるようになりました。
次に、ユーザー認証の別の例を見てみましょう。今回は、セッションを使用して、サイトに滞在し続けるユーザーが認証されたことを示します。まず、PHP バージョン 4.0 (register_globals を有効にする) を見てみましょう:
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true ;
session_register('authorized');
?>

最初のプログラムと同様に、 URL に ?authorized=1 を追加すると、セキュリティ対策を回避してページのコンテンツに直接アクセスできます。開発者は $authorized をセッション変数として扱い、同じ変数がユーザー入力によって簡単に設定できることを無視できます。
特別な配列 (PHP 4.1) を追加し、 register_globals (PHP 4.2) をオフにすると、プログラムは次のようになります:
session_start()
if ($username == 'kevin ' and $password == 'secret')
$_SESSION['authorized'] = true;
ユーザーにログインを促すフォーム -->

もっと簡単じゃないですか？通常の変数をセッション変数として登録する必要はなくなり、セッション変数を直接 ($_SESSION 配列内で) 設定し、同じ方法で使用するだけで済みます。プログラムが短くなり、どの変数がセッション変数であるかについて混乱が少なくなります。

まとめ

この記事では、PHP スクリプト言語の変更の根本的な理由を説明しました。 PHP 4.1 では、外部データにアクセスするために特別なデータセットが追加されました。これらの配列は任意のスコープで呼び出すことができるため、外部データへのアクセスがより便利になります。 PHP 4.2 では、これらの配列の使用を奨励して、経験の浅い開発者が安全でない PHP コードを作成することを防ぐために、 register_globals はデフォルトでオフになっています。

http://www.bkjia.com/PHPjc/314671.html