Writing PHP security policy_PHP tutorial

PHP最初是被称作Personal Home Page，后来随着PHP成为一种非常流行的脚本语言，名称也随之改变了，叫做Professional HyperText PreProcessor。以PHP4.2为例支持它的WEB服务器有：Apache, Microsoft Internet information Sereve, Microsoft Personal web Server,AOLserver,Netscape Enterprise 等等。

PHP是一种功能强大的语言和解释器，无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的，都能访问文件、执行命令或者在服务器上打开链接。而这些特性都使得PHP运行时带来安全问题。虽然PH P是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言，但正确使用编译时和运行中的一些配置选项以及恰当的应用编码将会保证其运行的安全性。

一、安全从开始编译PHP开始。

在编译PHP之前，首先确保操作系统的版本是最新的，必要的补丁程序必须安装过。另外使用编译的PHP也应当是最新的版本，关于PHP的安全漏洞也常有发现，请使用最新版本，如果已经安装过PHP请升级为最新版本：4.2.3

相关链接：http://security.e-matters.de/advisories/012002.html

安装编译PHP过程中要注意的3个问题：

1、只容许CGI文件从特定的目录下执行：首先把处理CGI脚本的默认句柄删除，然后在要执行CGI脚本的目录在http.conf 文件中加入ScriptAlias指令。

#Addhadler cgi-script .cgi

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

AllowOverride None

Options None

Order allow,deny

Allow from all

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

SriptAlias的第一个参数指明在Web中的可用相对路径，第二个参数指明脚本放在服务器的目录。应该对每个目录

别名都用Directory，这样可使得除系统管理员之外的人不知道Web服务器上CGI脚本的清单。

Directory允许用户创建自己的CGI脚本。也可用SriptAliasMatch，但Directory更容易使用。 允许用户创建自己

CGI脚本可能会导致安全问题，你可能不希望用户创建自己的CGI。 Apache默认配置是注释掉cgi—script的处理句柄，但有／cgi-bin目录使用SriptAlias和Directory指令。 你也可禁止CGI执行，但仍允许执行PHP脚本。

2．把PHP解析器放在web目录外

把PHP解析器放在Web目录树外是非常重要的做法。这样可以防止web服务器对PHP的解析器的滥用。特别是

不要把PHP解析器放在cgi－bin或允许执行CGI程序的目录下。然而，使用Action解析脚本是不可能的，因为用Action指令时，PHP解析器大多数要放在能够执行CGI的目录下只有当PHP脚本作为CGI程序执行时，才能把PHP解析器放在Web目录树之外。

如果希望PHP脚本作为CGI程序执行(这们可以把PHP解析器放在Web目录树之外)，可以这样：

( 1)所有的PHP脚本必须位于能执行CGI程序的目录里。

( 2)脚本必须是可执行的(仅在UNIX/Linux机器里)。

(3)脚本必须在文件头包括PHP解析器的路径。

你可用下面命令使PHP脚本为可执行：

#chmod +x test.php4

这样使在当前目录下的文件名为test．PhP4的脚本变为可执行。 下面是一个能作为CGI程序运行的PHP脚的小例子。

#!/usr/local/bin/php

echo "This is a  my small cgi program”
 

3. 按Apache模块方式安装:

当将PHP作为Apache模块使用时，它将继承Apche的用户权限(一般情况下用户为“nobody”)。这一点对于安全性和

验证有不少影响。例如，使用PHP访问数据库，除非数据库支持内建的访问控制，将不得不设置数据库对于用户“nobody”

的可访问权限。这将意味着恶意的脚本在没有访问用户名和密码，也能访问并修改数据库。通过Apache验证来保护数据不被暴露，或者也可使用LDAP、．htaccess文件等设计自己的访问控制模型，并在PHP脚本中将此代码作为其中部分引入。 通常，一旦安全性建立，此处PHP用户(此情形即Apache用户)就风险大大降低了，会发现PHP护现在已被封禁了将可能的染毒文件写入用户目录的能力。 此处最常犯的安全性错误是赋予Apache服务器根(root)权限。 将Apache用户权限提升到根权限是极端危险的。可能会危及整个系统，因此要小心使用sudo，chroot安全隐患大的命令等。除非你对安全有绝对的掌握，否则不要让其以ROOT权限运行。

二、让PHP的使用更安全。

1、以安全模式运行PHP

以安全模式运行PHP是使PHP脚本安全使用的好方法，特别是在允许用户使用自己开发的PHP脚本时。使用安全模式会使PHP在运行函数时检查是否存在安全问题。 include、readfile、fopen、file、unlink、rmdir等等：被包含的文件或者该文件所在目录的所有者必须是正在运行的脚本的所有者； Exec、System、Passthm等等：要执行的程序必须位于特定的目录(默认为／usr/local／php/bin)。编译PHP时可以用—with-exe-dir选项设定这个值。

Mysql—Connect：这个函数用可选的用户名连接MySQL数据库。在安全模式下，用户名必须是当前被执行的脚本的所有者，或运行httpd的用户名(通常是nobody)。

HTTP Authentication：包含HTTP验证代码脚本所有者的用户ID(数字型)会自动加到验证域。这样可以防止有人通过抓取密码的程序来欺骗同一个服务器上的HTTP验证脚本。

2、使用 用户识别和验证

有时需要唯一地确认一个用户。用户通常由请求和响应系统确认。用户名／口令组合就是这种系统的一个很好的例子，比如系统要求给出A1i的口令，响应的是Ali的口令。这样验证是因为只有Ali才知道这个口令。

（1）服务器端用户验征

这是用于服务端上对PHP程序要求最小的验证方法。只要让Apache来管理对用户的验证就行了。

AuthName      "Secret page"      # The realm

AuthType      Basic

# The password file has been placed outside the web tree

AuthUserFile   /home/car2002/website.pw

require      valid-user

你需要把上述文件(文件名为.htaccess)放在需要保护的地方。用Apache的htpasswd程序，可以建立包含用户名和口令组合的文件。把这个文件放在Web目录树之外，只让该文件的拥有者查看和修改这个文件。当然，Web服务器必须能够读取这个文件。

如果想读取被保护的目录，Web服务器要求浏览器提供用户名和密码。浏览器弹出对话框，用户可以输入他们的用户名和密码。如果用户名和密码与口令文件中相符合，就允许用户读取被保护的页面；反之，将得到错误页面，告诉用户没有通过验证。被保护的域会显示出来以便用户知道输入那个用户名和密码。

（2）在PHP中进行用户识别和验证

和在Apache服务器端进行用户识别和验证相比，在PHP进行用户识别和验证有以下优点：

A、可注销。

B、可失效。如用户登录后40分钟没有浏览你的网站，你可强制他们重新通过验证。

C、可定制。

D、可基于数据库。你可以用保存在各种各样的数据库里的数据来验证用户，并且记录访问者访问网站的详细日志。

E、可用于每个页面。你可在每个页面上决定是否需要验证。

F、你也可以使浏览器弹出对话框。下面的例子显示了怎样从，MySQL数据库中检索用名和口令：让用户填人用户名和口令。

if(!isset($PHP_AUTH_USER)) {

Header("WWW-authenticate: basic realm=\"restricted area\"");

Header( "HTTP/I.0 401 Unauthorized");

echo "You failed to provide the correct password...\n";

exit;

} else {

mysql_select_db("users") ;

$user_id = strtolower($PHP^AUTH_USER);

$result = mysql_query("SELECT password FROM users " .

"WHERE username = '$username'") ;

$row = mysql_fetch_array($result) ;

if ($PHP_AUTH_PW != $row["password"]) {

Header( "WWW-authenticate: basic realm=\"restricted area\"

Header( "HTTP/I.0 401 Unauthorized");

echo "You failed to provide the correct password...\n" ;

exit;

}

}

?>

Only users with a working username/password combination can see this
 

(3) 检测IP地址

一般人们普遍认为一个IP地址唯一地确定一个访问者。但实际上并不是这样的。代理服务器可用相同的IP地址发送不同用户的请求。另外IP地址的盗用也普遍存在。检测 IP地址有它们的用处，但相当有限。例如你是一个论坛版主，你发现某个用户粘贴一些不健康的、违法的内容。你可以找到他的IP地址，把从这个IP连进来的用户逐出论坛。使用下面一行命令将会得到某个特定请求的源IP地址：

# ip = $REMOTE_ADDR

4、使用PHP加密技术

在PHP中，加密技术主要用来加密信息、产生校验和和摘要。使用加密技术可大大地增强安全性能。 这里只讲述使用加密技术的一些概念。如果你想进一步了解，应参考一些好的加密技术资料。加密技术的标准是Bmce Schneier的应用加密技术，非常值得一读。他的网站(www.counterpane.com/labs.html )是在互联网上查找加密技术资料的好起点。数据加密是一个非常复杂的话题，这里只简单介绍一下。

PHP中大多数的加密函数由mcrypt库和mhash库提供。你需要在系统中装上这两个库，在编译时加上--ith-mcrypt和--ith-hash选项。PHP从 3．013版本开始支持mcrypt库。

5、使用具有SSL技术

SSI是英文Server Side Includes的缩写。使用具有SSL(安全套接字协议层)功能的web服务器，可以不用改变一行代码而提高网站的安全性能。SSI使用加密方法来保护web服务器和浏览器之间的信息流。SSL不仅用于加密在互联网上传递的数据流，而且还提供双方身份验证。这样，你就可以安全地在线购物而不必担心别人矢随你的信用卡的信息。这种特性使得SSL适用于那些交换重要信息的地方，像电子商务和基于Web的邮件。

SSL使用公共密钥加密技术，服务器在连接结束时给客户端发送公用密钥用来加密信息，而加密的信息只有服务器用它自己持有的专用密钥才能解开。客户端用公用密钥加密数据，并且发送给服务端自己的密钥，以唯一确定自己，防止在系统两端之间有人冒充服务端或客户端进行欺骗。

加密的HTTP连接用443端口号代替80端口号，以区别于普通的不加密的HTTP。客户端使用加密HTTP连接时会自动使用443端口而不是80端口。这使得服务端更容易作出相应的响应。

在Apache服务器下，可以通过直接编辑服务器配置文件或者在需要使用SSI的目录中创建.htaccess文件来启动SSI。登录到服务器，找到配置文件的存放目录，使用文字编辑器打开文件srm.conf，找到以下几行： 

# If you want to use server side includes, or CGI outside
# ScriptAliased directories, uncomment the following lines.
#AddType text/x-server-parsed-html .shtml
#AddType application/x-httpd-CGI .CGI
 

将以AddType开头的两行并且去掉每一行最前面的"#"符号即可。保存所做的修改，然后再打开文件access.conf。

　　　　＜Directory /usr/local/etc/httpd/htdocs＞
　　　　# This may also be "None", "All", or any combination of "Indexes",
　　　　# "Includes", or "FollowSymLinks"
　　　　Options Indexes FollowSymLinks
　　　　＜/Directory＞

　　　　将其中的Options Indexes FollowSymLinks改为:Options Indexes FollowSymLinks Includes 即可。
 

6、使用Apache的suEXEC机制

通常CGI程序或PHP脚本只能以启动web服务器的用户权限来运行(通常为www或nobody)，这样会出现的情况之一是可以读写和修改由另一个用户的CGI和PHP脚本生成的文件(如脚本和密码文件)。也可能使用户可以连接到其他用户的数据库，但这与数据库的配置有关。如MySQL的默认配置便是允许的，但可以通过强制数据库进行口令验证来弥补此不足。PHP的safe—mode减少了这些问题，但所有的脚本仍然以相同的用户标识运行。Apache可以解决这个问题。suEXEC(在执行前改变用户标识)是一个小工具，允许以任意用户标识运行CGI程序，当然也包括PHP脚本，但根用户除外。而且可以和UseDir和VirtualHost项一起使用。

所以suEXEC也叫CGI封装。这意味着在脚本运行之前它需要通过一系列规定的安全检查。随Apache2。0版发布的suEXEC有26个检查点。suEXEC能解决一些安全问题，同时允许用户开发和更安全地执行自己的脚本。但是suEXEC会降低服务性能，因为suEXEC只能运行在CGI版本的PHP上，而CGI版本比模块版本运行速度慢。原因是模块版本使用了线程，而使用CGI版本的是进程。在不同线程之间的环境转换和访问公用的存储区域显然要比在不同的进程之间要快得多。使用suEXEC的另外一个问题是它增加了编写和使用PHP脚本的难度。你要确保脚本能通过suEXEC的检验。否则，你的脚本不会被执行。我们建议在你对安全性能要求比较高时使用suEXEC ,为此你还要以牺牲速度为代价。

7、创建安全的PHP脚本

There are many programming techniques to make PHP scripts run more safely. The most important one is to use some common sense about safety. Running PHP is more secure than running CGI scripts, but it still has many places where things can go wrong. Transitioning to safe operating mode limits the consequences of errors. If you have a bug in your PHP script, someone could find it and use it to compromise your site or even your database. So frequent backups are also necessary.

(1) Security Settings Software

Web-based applications, such as online directories, often run without close monitoring. If something goes wrong, you can't take immediate action. Visitors are usually the first to notice problems that occur, and you should make it easy for them to report problems that occur. Furthermore, these issues can be tracked by the scripts that make up this site. For example, your visitors might do something you didn't expect. It's also possible that you haven't checked the return values ​​​​of important functions, and the script may run in an unpredictable way.

Writing safer programs can avoid these problems. For example, you should check the return value of the database function. If the database crashes, the error information page should be displayed to the user instead of filling the screen with errors. You can even have the script automatically notify you when a serious problem occurs, such as a database crash or the hard disk is full. You should also check all data coming from the user. Obviously the latter is more important. If your program can cope with errors, your program will not only be more reliable, but it will also take less time to maintain. This time can go a long way toward making up for the extra time you spent developing your program.

(2) Storing and exchanging sensitive information

Obviously, you should try to avoid transmitting sensitive information in the form of GET, POST, cookie or URL encoding on the Internet, which makes the information Easily stolen. Using an SSL-enabled web server enables this because it encrypts all traffic between the site and the visitor's browser.

If you don’t have a web server that supports SSL, then you need other methods. For example, there is no need to always send data to the browser; save the data in the database and only send keywords to the browser, so that it is easy to find the required data; and send all data in encrypted form, etc. The simplest way to achieve this functionality is to use Session. PHP4 supports localized Session functions, while PHP3 requires the PHPMB library.

HTTP protocol is a stateless protocol. It is not responsible for the status information of the connection, so it cannot track various information of the client. The emergence of Session changes this situation. When a user browses a CGI script that supports the Session function, the user information can be saved under the agreed Session ID before he leaves the web page, that is, the user information can be accessed simultaneously between different web pages.

Monitoring the contents of your files is not possible without using PHP's safe mode or running PHP as CGI under suEXEC. At this time, the only way to prevent others from reading the data is to save the data to the database as soon as possible.

(3) Check user input

Per1 language has a feature called taint checking. When taint detection is in effect, you cannot run functions containing suspicious variables even if no major errors occur. A variable becomes suspicious when its value is part or all of user-supplied data, because such data is considered unsafe. This improves system security. PHP does not have this feature, but PHP has the escapeshellcmd function, which can achieve the same effect. Another way to prevent users from abusing scripts is to only allow strictly checked input.

(4) Use the latest PHP version 4.2.xx

For a long time, one of the biggest selling points of PHP as a server-side scripting language was that it would be able to submit from a form The value automatically creates a global variable. In PHP 4.1, the PHP creators recommended an alternative means of accessing submitted data. In PHP 4.2, they did away with that old practice. In PHP 4.1, a special set of data was added to access external data. These arrays can be called in any scope, which makes access to external data more convenient. In PHP 4.2, register_globals is turned off by default to encourage the use of these arrays to avoid inexperienced developers from writing unsafe PHP code. This change was made for security reasons.

3. Summary

A completely secure system is theoretically impossible, so the security we refer to is just a balance between cost and availability. If every variable submitted by the user requires biological verification (such as fingerprint identification), an extremely high level of reliability will be achieved. But it will also cause users to fill in a form that takes dozens of minutes. At this time, users will take methods to bypass security verification. The reliability of a system can only be determined by the weakest link in the entire chain. In any security system, people are the most vulnerable connection, and technology alone cannot make a system secure.

PHP is still in the process of continuous development, and you need to pay attention to its security information frequently. The author here recommends that you always pay attention to Security Focus (www.security-focus.com) and Packetstorm (www.packetstorm.com).