探讨PHP数据过滤的安全之道
在在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:
确保PHP数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的来源。
关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。
PHP数据过滤调度方法
这种方法是用一个单一的PHP脚本调度(通过 URL)。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。例如:
http://example.org/dispatch.php?task=print_formdispatch.php是唯一的根文件(Document root)。它可以让开发者做两件非常重要的事情:
在dispatch.php最开始实现一些全局的安全处理,并且确保这些处理不可以被绕过。容易确定在必要的地方进行数据过滤,特别是一些特殊目的的控制流操作中。看下面的例子以便进一步讨论dispatch.php脚本:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li><span>/* 全局安全处理 */ </span></li>
<li class="alt"><span>switch ($_GET['task']){case <br>'print_form':include '/inc/<br>presentation/form.inc'; </span></li>
<li><span>break; </span></li>
<li class="alt">
<span>case 'process_form':$</span><span class="attribute">form_valid</span><span> = </span><span class="attribute-value">false</span><span>; </span>
</li>
<li><span>include '/inc/logic/process.inc'; </span></li>
<li class="alt"><span>if ($form_valid){include '/inc/<br>presentation/end.inc';}else{include <br>'/inc/presentation/form.inc';}<br>break;default:include '/inc/presentation<br>/index.inc'; </span></li>
<li><span>break; </span></li>
<li class="alt"><span>} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>如果这是唯一的可公开访问到的 PHP 脚本,则可以确信的一点是这个程序的设计可以确保在最开始的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如,不需要浏览整个代码就可以容易的知道:当$form_valid为true时,end.inc是唯一显示给用户的;由于它在process.inc被包含之前,并刚刚初始化为false,可以确定的是process.inc的内部逻辑会将设置它为true;否则表单将再次显示(可能会显示相关的错误信息)。
PHP数据过滤要注意的问题
如果你使用目录定向文件,如index.php(代替dispatch.php),你可以像这样使用 URL 地址:http://example.org/?task=print_form。
你还可以使用ApacheForceType重定向或者mod_rewrite来调整 URL 地址:http://example.org/app/print-form。
PHP数据过滤的包含方法
另外一种方式是使用单独一个模块,这个模块负责所有的安全处理。这个模块被包含在所有公开的 PHP 脚本的最前端(或者非常靠前的部分)。参考下面的脚本security.inc
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li><span>switch ($_POST['form']) </span></li>
<li class="alt"><span>{case 'login': </span></li>
<li>
<span>$</span><span class="attribute">allowed</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>$allowed[] = 'form'; </span></li>
<li><span>$allowed[] = 'username'; </span></li>
<li class="alt"><span>$allowed[] = 'password'; </span></li>
<li>
<span>$</span><span class="attribute">sent</span><span> = </span><span class="attribute-value">array_keys</span><span>($_POST); </span>
</li>
<li class="alt">
<span>if ($</span><span class="attribute">allowed</span><span> == $sent) </span>
</li>
<li><span>{include '/inc/logic/<br>process.inc';} </span></li>
<li class="alt"><span>break; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>在这个PHP数据过滤例中,每个提交过来的表单都认为应当含有form这个唯一验证值,并且security.inc独立处理表单中0需要过滤的数据。实现这个要求的HTML表单如下所示:
<ol class="dp-xml"> <li class="alt"><span><span class="tag"><span> </span><span class="tag-name">form.</span><span> </span><span class="attribute">action</span><span>=</span><span class="attribute-value">"/receive.php"</span><span> <br></span><span class="attribute">method</span><span>=</span><span class="attribute-value">"POST"</span><span class="tag">></span><span> </span></span></span></li> <li><span class="tag"><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"hidden"</span><span> <br></span><span class="attribute">name</span><span>=</span><span class="attribute-value">"form"</span><span> </span><span class="attribute">value</span><span>=</span><span class="attribute-value">"login"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> </span><span class="tag-name">p</span><span class="tag">></span><span>Username: </span></span></li> <li><span class="tag"><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"text"</span><span> </span><span class="attribute">name</span><span>=</span><span class="attribute-value">"username"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> /p</span><span class="tag">></span><span> </span></span></li> <li><span class="tag"><span> </span><span class="tag-name">p</span><span class="tag">></span><span>Password:</span><span class="tag"><span class="tag-name">input</span><span> <br></span><span class="attribute">type</span><span>=</span><span class="attribute-value">"password"</span><span> </span><span class="attribute">name</span><span>=</span><span class="attribute-value">"password"</span><span> </span><span class="tag">/></span><span> </span></span></span></li> <li class="alt"><span class="tag"><span> /p</span><span class="tag">></span><span> </span></span></li> <li><span class="tag"><span> </span><span class="tag-name">input</span><span> </span><span class="attribute">type</span><span>=</span><span class="attribute-value">"submit"</span><span> </span><span class="tag">/></span><span> </span></span></li> <li class="alt"><span class="tag"><span> /form</span><span class="tag">></span><span> </span></span></li> </ol>
叫做$allowed的数组用来检验哪个表单变量是允许的, 这个列表在表单被处理前应当是一致的。流程控制决定要执行什么,而process.inc是真正过滤后的数据到达的地方。
注意
确保security.inc总是被包含在每个脚本的最开始的位置比较好的方法是使用auto_prepend_file设置。
PHP数据过滤的例子
建立白名单对于PHP数据过滤是非常重要的。由于不可能对每一种可能遇到的表单数据都给出例子,部分例子可以帮助你对此有一个大体的了解。
下面的代码对邮件地址进行了验证:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt">
<span>$</span><span class="attribute">email_pattern</span><span> = </span><span class="attribute-value">'<br>/^[^@s]+@([-a-z0-9]+.)<br>+[a-z]{2,}$/i'</span><span>; </span>
</li>
<li><span>if (preg_match($email_<br>pattern, $_POST['email'])) </span></li>
<li class="alt"><span>{$clean['email'] = $_POST<br>['email'];} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>下面的PHP数据过滤代码确保了$_POST['color']的内容是red,green,或者blue:
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>switch ($_POST['color'])<br>{case 'red':case 'green':case <br>'blue':$clean['color'] = <br>$_POST['color']; </span></li>
<li><span>break; </span></li>
<li class="alt"><span>} </span></li>
<li>
<span class="tag">?></span><span> </span>
</li>
</ol>下面的PHP数据过滤代码确保$_POST['num']是一个整数(integer):
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>if ($_POST['num'] == <br>strval(intval($_<br>POST['num']))){$clean<br>['num'] = $_POST['num']; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>下面的PHP数据过滤代码确保$_POST['num']是一个浮点数(float):
<ol class="dp-xml">
<li class="alt"><span><span class="tag"><span> ?php </span></span></span></li>
<li>
<span>$</span><span class="attribute">clean</span><span> = </span><span class="attribute-value">array</span><span>(); </span>
</li>
<li class="alt"><span>if ($_POST['num'] == <br>strval(floatval($_POST<br>['num']))){$clean['num'] <br>= $_POST['num']; </span></li>
<li><span>} </span></li>
<li class="alt">
<span class="tag">?></span><span> </span>
</li>
</ol>PHP数据过滤的名字转换
之前每个例子都使用了数组$clean。对于开发人员判断数据是否有潜在的威胁这是一个很好的习惯。 永远不要在对数据验证后还将其保存在$_POST或者$_GET中,作为开发人员对超级全局数组中保存的数据总是应当保持充分的怀疑。
需要补充的是,使用$clean可以帮助思考还有什么没有被过滤,这更类似一个白名单的作用。可以提升安全的等级。
如果仅仅将验证过的数据保存在$clean,在数据验证上仅存的风险是你所引用的数组元素不存在,而不是未过滤的危险数据。
PHP数据过滤的时机
一旦 PHP 脚本开始执行,则意味着 HTTP 请求已经全部结束。此时,用户便没有机会向脚本发送数据。因此,没有数据可以被输入到脚本中(甚至register_globals被开启的情况下)。这就是为什么初始化变量是非常好的习惯。
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
JWT (JSON Web Tokens) 및 PHP API의 사용 사례를 설명하십시오.
Apr 05, 2025 am 12:04 AM
JWT는 주로 신분증 인증 및 정보 교환을 위해 당사자간에 정보를 안전하게 전송하는 데 사용되는 JSON을 기반으로 한 개방형 표준입니다. 1. JWT는 헤더, 페이로드 및 서명의 세 부분으로 구성됩니다. 2. JWT의 작업 원칙에는 세 가지 단계가 포함됩니다. JWT 생성, JWT 확인 및 Parsing Payload. 3. PHP에서 인증에 JWT를 사용하면 JWT를 생성하고 확인할 수 있으며 사용자 역할 및 권한 정보가 고급 사용에 포함될 수 있습니다. 4. 일반적인 오류에는 서명 검증 실패, 토큰 만료 및 대형 페이로드가 포함됩니다. 디버깅 기술에는 디버깅 도구 및 로깅 사용이 포함됩니다. 5. 성능 최적화 및 모범 사례에는 적절한 시그니처 알고리즘 사용, 타당성 기간 설정 합리적,
PHP에서 늦은 정적 결합을 설명하십시오 (정적 : :).
Apr 03, 2025 am 12:04 AM
정적 바인딩 (정적 : :)는 PHP에서 늦은 정적 바인딩 (LSB)을 구현하여 클래스를 정의하는 대신 정적 컨텍스트에서 호출 클래스를 참조 할 수 있습니다. 1) 구문 분석 프로세스는 런타임에 수행됩니다. 2) 상속 관계에서 통화 클래스를 찾아보십시오. 3) 성능 오버 헤드를 가져올 수 있습니다.
문자열로 모음을 계산하는 PHP 프로그램
Feb 07, 2025 pm 12:12 PM
문자열은 문자, 숫자 및 기호를 포함하여 일련의 문자입니다. 이 튜토리얼은 다른 방법을 사용하여 PHP의 주어진 문자열의 모음 수를 계산하는 방법을 배웁니다. 영어의 모음은 A, E, I, O, U이며 대문자 또는 소문자 일 수 있습니다. 모음이란 무엇입니까? 모음은 특정 발음을 나타내는 알파벳 문자입니다. 대문자와 소문자를 포함하여 영어에는 5 개의 모음이 있습니다. a, e, i, o, u 예 1 입력 : String = "Tutorialspoint" 출력 : 6 설명하다 문자열의 "Tutorialspoint"의 모음은 u, o, i, a, o, i입니다. 총 6 개의 위안이 있습니다
php magic 방법 (__construct, __destruct, __call, __get, __set 등)이란 무엇이며 사용 사례를 제공합니까?
Apr 03, 2025 am 12:03 AM
PHP의 마법 방법은 무엇입니까? PHP의 마법 방법은 다음과 같습니다. 1. \ _ \ _ Construct, 객체를 초기화하는 데 사용됩니다. 2. \ _ \ _ 파괴, 자원을 정리하는 데 사용됩니다. 3. \ _ \ _ 호출, 존재하지 않는 메소드 호출을 처리하십시오. 4. \ _ \ _ get, 동적 속성 액세스를 구현하십시오. 5. \ _ \ _ Set, 동적 속성 설정을 구현하십시오. 이러한 방법은 특정 상황에서 자동으로 호출되어 코드 유연성과 효율성을 향상시킵니다.
PHP 및 Python : 두 가지 인기있는 프로그래밍 언어를 비교합니다
Apr 14, 2025 am 12:13 AM
PHP와 Python은 각각 고유 한 장점이 있으며 프로젝트 요구 사항에 따라 선택합니다. 1.PHP는 웹 개발, 특히 웹 사이트의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 간결한 구문을 가진 데이터 과학, 기계 학습 및 인공 지능에 적합하며 초보자에게 적합합니다.
PHP 실행 : 실제 예제 및 응용 프로그램
Apr 14, 2025 am 12:19 AM
PHP는 전자 상거래, 컨텐츠 관리 시스템 및 API 개발에 널리 사용됩니다. 1) 전자 상거래 : 쇼핑 카트 기능 및 지불 처리에 사용됩니다. 2) 컨텐츠 관리 시스템 : 동적 컨텐츠 생성 및 사용자 관리에 사용됩니다. 3) API 개발 : 편안한 API 개발 및 API 보안에 사용됩니다. 성능 최적화 및 모범 사례를 통해 PHP 애플리케이션의 효율성과 유지 보수 성이 향상됩니다.
PHP : 웹 개발의 핵심 언어
Apr 13, 2025 am 12:08 AM
PHP는 서버 측에서 널리 사용되는 스크립팅 언어이며 특히 웹 개발에 적합합니다. 1.PHP는 HTML을 포함하고 HTTP 요청 및 응답을 처리 할 수 있으며 다양한 데이터베이스를 지원할 수 있습니다. 2.PHP는 강력한 커뮤니티 지원 및 오픈 소스 리소스를 통해 동적 웹 컨텐츠, 프로세스 양식 데이터, 액세스 데이터베이스 등을 생성하는 데 사용됩니다. 3. PHP는 해석 된 언어이며, 실행 프로세스에는 어휘 분석, 문법 분석, 편집 및 실행이 포함됩니다. 4. PHP는 사용자 등록 시스템과 같은 고급 응용 프로그램을 위해 MySQL과 결합 할 수 있습니다. 5. PHP를 디버깅 할 때 error_reporting () 및 var_dump ()와 같은 함수를 사용할 수 있습니다. 6. 캐싱 메커니즘을 사용하여 PHP 코드를 최적화하고 데이터베이스 쿼리를 최적화하며 내장 기능을 사용하십시오. 7
PHP vs. Python : 차이점 이해
Apr 11, 2025 am 12:15 AM
PHP와 Python은 각각 고유 한 장점이 있으며 선택은 프로젝트 요구 사항을 기반으로해야합니다. 1.PHP는 간단한 구문과 높은 실행 효율로 웹 개발에 적합합니다. 2. Python은 간결한 구문 및 풍부한 라이브러리를 갖춘 데이터 과학 및 기계 학습에 적합합니다.
