PHP 보안 - 필터 입력

필터 입력

필터링은 웹 애플리케이션 보안의 기초입니다. 이는 데이터의 적법성을 확인하는 프로세스입니다. 모든 데이터가 입력 시 필터링되도록 하면 오염된(필터링되지 않은) 데이터가 프로그램에서 불신되거나 오용되는 것을 방지할 수 있습니다. 널리 사용되는 PHP 애플리케이션의 취약점 대부분은 궁극적으로 부적절한 입력 삭제로 인해 발생합니다.

입력 필터링이란 세 가지 단계를 의미합니다.

l 입력 인식

l 입력 필터링

l 필터링된 데이터와 오염된 데이터 구별

첫 번째 단계로 입력을 식별하는 이유는 그것이 무엇인지 모르면 올바르게 필터링할 수 없기 때문입니다. 입력이란 외부에서 들어오는 모든 데이터를 말합니다. 예를 들어, 클라이언트에서 보낸 모든 것이 입력되지만 클라이언트가 유일한 외부 데이터 소스는 아니며, 데이터베이스 및 RSS 피드와 같은 다른 소스도 외부 데이터 소스입니다.

사용자가 입력한 데이터는 매우 쉽게 식별할 수 있습니다. PHP는 두 개의 슈퍼 공용 배열 $_GET을 사용합니다. $_POST는 사용자 입력 데이터를 저장합니다. 다른 입력은 식별하기가 훨씬 어렵습니다. 예를 들어 $_SERVER 배열의 많은 요소는 클라이언트에 의해 조작됩니다. $_SERVER 배열의 어떤 요소가 입력을 구성하는지 결정하기 어려운 경우가 많으므로 가장 좋은 방법은 전체 배열을 입력으로 처리하는 것입니다.

어떤 경우에는 귀하가 입력으로 제공하는 내용이 귀하의 관점에 따라 달라집니다. 예를 들어 세션 데이터는 서버에 저장되므로 세션 데이터를 외부 데이터 소스로 생각하지 않을 수 있습니다. 이 보기를 유지하면 소프트웨어 내부에 세션 데이터를 저장할 수 있습니다. 세션 위치의 보안이 소프트웨어의 보안과 연결되어 있다는 것을 인식하는 것이 현명합니다. 동일한 아이디어를 데이터베이스로 확장할 수 있으며 소프트웨어의 일부로 생각할 수도 있습니다.

일반적으로 말해서 세션 저장 위치와 데이터베이스를 입력으로 처리하는 것이 더 안전하며 이는 모든 중요한 PHP 애플리케이션 개발에서 권장하는 것입니다.

입력이 인식되면 필터링할 수 있습니다. 여과란 검증, 청소, 정화 등 일상 표현에서 많은 동의어를 갖고 있는 다소 격식을 갖춘 용어입니다. 이러한 용어는 약간 다르지만 모두 불법 데이터가 애플리케이션에 입력되는 것을 방지하는 동일한 프로세스를 나타냅니다.

데이터를 필터링하는 방법에는 여러 가지가 있으며 그 중 일부는 더 안전합니다. 가장 좋은 방법은 필터링을 검사 프로세스로 생각하는 것입니다. 좋은 의도로 불법 데이터를 수정하려고 하지 마십시오. 사용자가 규칙을 따르도록 하십시오. 불법 데이터를 수정하려고 하면 보안 취약점이 발생하는 경우가 많다는 것이 역사를 통해 입증되었습니다. 예를 들어 디렉터리 스패닝(상위 디렉터리에 액세스)을 방지하려고 시도하는 다음 접근 방식을 고려해 보세요.

코드:

<?php
 
  $filename = str_replace(&#39;..&#39;, &#39;.&#39;,
$_POST[&#39;filename&#39;]);
 
  ?>

$filename이 Linux 시스템 ../../etc/passwd의 사용자 비밀번호 파일 경로가 되도록 $_POST['filename']을 어떻게 설정해야 하는지 생각해 볼 수 있습니까?

대답은 간단합니다.

  .../.../etc/passwd

이 특정 오류는 찾을 수 없을 때까지 반복적으로 교체될 수 있습니다.

CODE:

  <?php
  $filename = $_POST[&#39;filename&#39;];
  while (strpos($_POST[&#39;filename&#39;], &#39;..&#39;) !=  =
FALSE)
  {
    $filename = str_replace(&#39;..&#39;, &#39;.&#39;,
$filename);
  }
  ?>

함수 기본 이름( ) 위의 모든 로직을 대체하여 보다 안전하게 목적을 달성할 수 있습니다. 그러나 중요한 점은 불법 데이터를 수정하려는 시도가 잠재적인 오류로 이어질 수 있고 불법 데이터가 통과할 수 있다는 것입니다. 그냥 확인하는 것이 더 안전한 선택입니다.

译注：这一点深有体会，在实际项目曾经遇到过这样一件事，是对一个用户注册和登录系统进行更改，客户希望用户名前后有空格就不能登录，结果修改时对用户登录程序进行了更改，用trim（）函数把输入的用户名前后的空格去掉了（典型的好心办坏事），但是在注册时居然还是允许前后有空格！结果可想而知。

除了把过滤做为一个检查过程之外，你还可以在可能时用白名单方法。它是指你需要假定你正在检查的数据是非法的，除非你能证明它是合法的。换而言之，你宁可在小心上犯错。使用这个方法，一个错误只会导致你把合法的数据当成是非法的。尽管不想犯任何错误，但这样总比把非法数据当成合法数据要安全得多。通过减轻犯错引起的损失，你可以提高你的应用的安全性。尽管这个想法在理论上是很自然的，但历史证明，这是一个很有价值的方法。

如果你能正确可靠地识别和过滤输入，你的工作就基本完成了。最后一步是使用一个命名约定或其它可以帮助你正确和可靠地区分已过滤和被污染数据的方法。我推荐一个比较简单的命名约定，因为它可以同时用在面向过程和面向对象的编程中。我用的命名约定是把所有经过滤的数据放入一个叫$clean的数据中。你需要用两个重要的步骤来防止被污染数据的注入：

l 经常初始化$clean为一个空数组。

l 加入检查及阻止来自外部数据源的变量命名为clean，

实际上，只有初始化是至关紧要的，但是养成这样一个习惯也是很好的：把所有命名为clean的变量认为是你的已过滤数据数组。这一步骤合理地保证了$clean中只包括你有意保存进去的数据，你所要负责的只是不在$clean存在被污染数据。

为了巩固这些概念，考虑下面的表单，它允许用户选择三种颜色中的一种；

CODE:

 <form action="process.php" method="POST">
  Please select a color:
  <select name="color">
    <option value="red">red</option>
    <option
value="green">green</option>
    <option
value="blue">blue</option>
  </select>
  <input type="submit" />
  </form>

在处理这个表单的编程逻辑中，非常容易犯的错误是认为只能提交三个选择中的一个。在第二章中你将学到，客户端能提交任何数据作为$_POST['color']的值。为了正确地过滤数据，你需要用一个switch语句来进行：

CODE:

  <?php
 
  $clean = array(  );
  switch($_POST[&#39;color&#39;])
  {
    case &#39;red&#39;:
    case &#39;green&#39;:
    case &#39;blue&#39;:
      $clean[&#39;color&#39;] = $_POST[&#39;color&#39;];
      break;
  }
 
  ?>

本例中首先初始化了$clean为空数组以防止包含被污染的数据。一旦证明$_POST['color']是red, green, 或blue中的一个时，就会保存到$clean['color']变量中。因此，可以确信$clean['color']变量是合法的，从而在代码的其它部分使用它。当然，你还可以在switch结构中加入一个default分支以处理非法数据的情况。一种可能是再次显示表单并提示错误。特别小心不要试图为了友好而输出被污染的数据。

上面的方法对于过滤有一组已知的合法值的数据很有效，但是对于过滤有一组已知合法字符组成的数据时就没有什么帮助。例如，你可能需要一个用户名只能由字母及数字组成：

CODE:

 <?php
 
  $clean = array(  );
 
  if (ctype_alnum($_POST[&#39;username&#39;]))
  {
    $clean[&#39;username&#39;] = $_POST[&#39;username&#39;];
  }
 
  ?>

       尽管在这种情况下可以用正则表达式，但使用PHP内置函数是更完美的。这些函数包含错误的可能性要比你自已写的代码出错的可能性要低得多，而且在过滤逻辑中的一个错误几乎就意味着一个安全漏洞。

 

以上就是PHP安全-过滤输入的内容，更多相关内容请关注PHP中文网（www.php.cn）！