`
only_java
  • 浏览: 112662 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

php安全方面的要点-绝对有很多人不是很清楚

    博客分类:
  • php
阅读更多
1. 输入输出安全

(1)关闭 register_global 选项(php4及以前),初始化所有变量,能防止调用未定义变量notice错误,也能够防范一些hacker行为

(2)接收任何变量的时候,务必记住:所有用户输入都是不安全的!如果确定用户输入数据是整数(比如ID之类),可以使用(int)或intval()函数强制类型转换,如果是字符串类型,使用 addslashes 或 mysql_escape_string(如果考虑数据库编码请连接数据库后使用mysql_real_escape_string更安全,针对GBK等编码,使用该函数能够防范目前很多GBK编码爆出的注入漏洞)注1

(3)输出数据的时候,如果害怕html,可以使用strip_tags全部过滤,或者使用 htmlspecialchars 进行html标签转义保证输出到页面不会构成威胁,另外,最好输入或者输出的时候过滤所有的<script><iframe><object>等标记和内容,有时候<style>或作为属性的style也最好过滤一下

注1:问题来自多字节编码。例如在GBK里,0xbf27并不是一个合法的双字节字符,因此addslash()会把它转义成0xbf5c27,碰巧0xbf5c是一个合法的双字节字符,由此可以注入一个0x27 (')。addslash()和mysql_escape_string无药可救。mysql_real_escape_string()可以根据字符集正确地转义,但是需要在建立数据库联接的时候指明“SET CHARACTER SET 'GBK'”。


2. php系统安全

(1)打开 safe_mode 是最重要的,同时设置 open_basedir, safe_mode_include_dir,safe_mode_exec_dir 等选项

(2)当要操作或者包含文件的时候,使用realpath 和 basename 检查文件是否是本地文件

(3)如果很多危险函数如果不使用,建议关闭,关闭函数修改disbale_functions选项,比如很多命令执行函数、eval、phpinfo 等函数

(4)如果不需要上传文件功能可以关闭,如果需要记得设置 post_max_size 选项为你合适的大小,否则文件系统很容易被塞满,并且move_uploaded_file来操作上传的文件,而且不是使用copy

(5)把库文件(.inc)和数据文件(数据信息,配置信息,sqlite数据库等)不要与web目录放在一起,防止被下载


3.小议urldecode等函数的安全使用
urldecode函数在很多程序中是经常使用的,对用户提交的某些字符进行URL解码,防止一些字符截断之类的问题出现,但是如果使用不当可能会出现一些安全问题,举两个例子
1,泄露绝对路径
这个问题比较典型了,但是需要PHP的错误回显打开才行。看这段小代码
&lt;?
$name[] = "abc";
echo $name[0];
echo $name[1];
echo $name[2];
$name1="def";
echo $name1[0];
echo $name1[1];
echo $name1[2];
echo urldecode($name);
?&gt;
PHP的变量可以用数组的形式操作,那么是不是在任何地方都可以互相使用呢,这段代码的输出如下:
abcdef
Warning: urldecode() expects parameter 1 to be string, array given in C:\Apache Group\Apache2\htdocs\px\non48.php on line 10
可见,WEB程序的绝对路径已经暴露出来了,在一些注入攻击或者一些文件包含漏洞中知道绝对路径对一些进一步猜测或者load_file()的作用还是很大的,有此类问题的函数还有:urlencode,urldecode,rawurlencode,rawurldecode,base64_encode,mysql_connect等等。实例PHPBB论坛绝对路径泄漏
代码如下:
if ( isset($HTTP_POST_VARS['folder']) || isset($HTTP_GET_VARS['folder']) )

{

$folder = ( isset($HTTP_POST_VARS['folder']) ) ? $HTTP_POST_VARS['folder'] : $HTTP_GET_VARS['folder'];

$folder = htmlspecialchars($folder);

if ( $folder != 'inbox' && $folder != 'outbox' && $folder != 'sentbox' && $folder != 'savebox' )

{

$folder = 'inbox';

}

}

else

{

$folder = 'inbox';

}
提交:http://localhost/phpBB2/privmsg.php?folder[]=
回显:
Warning: htmlspecialchars() expects parameter 1 to be string, array given in /www/phpbb2/privmsg.php on line 61

4,bypass GPC或addslashes注入
在GPC或者addslashes的影响下,变量被放在一对单引号中,进行SQL注入攻击时首先就是要闭合单引号才能继续构造查询语句,这时单引号会被转义成\'导致攻击失败,由于urldecode函数对变量的解码处理导致我们给变量赋值%2527,浏览器会把%25解码为%,然后%27被带入urldecode函数处理,再解码为',这样的话,单引号就被顺利带入并绕过了GPC或者addslashes,实例wordpress的wp-admin/admin-ajax.php页面注入漏洞:
define('DOING_AJAX', true);
check_ajax_referer();
if ( !is_user_logged_in() )
die('-1');
...漏洞出在check_ajax_referer(); 函数,进一步看下去
function check_ajax_referer() {
$cookie = explode('; ', urldecode(empty($_POST['cookie']) ?
$_GET['cookie'] : $_POST['cookie'])); // AJAX scripts must pass
cookie=document.cookie
foreach ( $cookie as $tasty ) {
if ( false !== strpos($tasty, USER_COOKIE) )
$user = substr(strstr($tasty, '='), 1);
if ( false !== strpos($tasty, PASS_COOKIE) )
$pass = substr(strstr($tasty, '='), 1);
}
if ( !wp_login( $user, $pass, true ) )
die('-1');
注意这一段句:
$cookie = explode('; ', urldecode(empty($_POST['cookie']) ?
$_GET['cookie'] : $_POST['cookie'])); // AJAX scripts must pass
用urldecode函数处理cookie,而处理后的用户信息最终被带入数据库语句查询
function get_userdatabylogin($user_login) {
global $wpdb;
...
if ( !$user = $wpdb-&gt;get_row("Select * FROM $wpdb-&gt;users
Where user_login = '$user_login'") )
return false;
这样攻击者构造用户信息为%2527 and 1=1就会在urldecode函数作用下顺利闭合单引号,实现SQL注入攻击
if ( !$user = $wpdb-&gt;get_row("Select * FROM $wpdb-&gt;users
Where user_login = ‘’ and 1=1") )
实例2PHP168SQL注入漏洞
if(!$keyword)
{
extract($db-&gt;get_one("SELECT keywords AS keyword FROM {$pre}article WHERE aid='$id'"));
}

if($keyword){
$SQL.=" AND ( ";
$keyword=urldecode($keyword);
$detail=explode(" ",$keyword);
unset($detail2);
foreach( $detail AS $key=&gt;$value){
$detail2[]=” BINARY title LIKE ‘%$value%’ “;
}
$str=implode(” OR “,$detail2);
$SQL.=” $str ) “;
}else{
$SQL.=” AND 0 “;
}

$ORDER=’ list ‘;
}

if(!$webdb[viewNoPassArticle]){
$SQL.=’ AND yz=1 ‘;
}

$SQL=” WHERE $SQL ORDER BY $ORDER DESC LIMIT $rows”;
$which=’*';
$listdb=list_article($SQL,$which,$leng);
$keyword经过urldecode后进入SQL查询语句,漏洞由此产生

5.安全使用intval函数
关于这个函数的功能不再多说什么了,手册上写的很明白
intval最常用的是在程序中过滤进入数据库的变量,将其转换为整型,防止SQL注入攻击的产生
但是使用不当的话则会起不到检查的作用,下面就结合一个实例来说明这个问题
国内某个CMS系统,经过ZEND加密了,解密后某文件代码如下:
$id = isset( $_GET['id'] ) ? $_GET['id'] : 0;
if ( intval( $id ) )
{
$sql = "SELECT url FROM ".$tablepre."feed WHERE id={$id} AND uploader='{$SESSION['uid']}'";
代码很简单,获取GET来的id用intval函数判断,如果是整型则带入数据库查询,看似逻辑上没有什么问题,但实际上这段代码没有起到任何的check作用,为什么呢?看如下脚本:
<?
$var="20070601";
if (intval($var))
echo "it's safe";
echo '$var='.$var;
echo "<br>";
$var1="1 union select 1,1,1 from admin";
if (intval($var1))
echo "it's safe too";
echo '$var1='.$var1;
?>
运行以上脚本可以看到,两个判断的结果都是safe的,但实际上只有$var是安全的$var1变量后已经附带的有额外的SQL查询语句了,那么intval是如何判断的呢?这就需要看intval函数在PHP中是如何实现的,代码如下:
PHP_FUNCTION(intval)
{
        zval **num, **arg_base;
        int base;
      switch (ZEND_NUM_ARGS()) {
                case 1:
                        if (zend_get_parameters_ex(1, &num) == FAILURE) {
                                WRONG_PARAM_COUNT;
                        }
                        base = 10;
                        break;
                case 2:
                        if (zend_get_parameters_ex(2, &num, &arg_base) == FAILURE) {
                                WRONG_PARAM_COUNT;
                        }
                        convert_to_long_ex(arg_base);
                        base = Z_LVAL_PP(arg_base);
                        break;
                default:
                        WRONG_PARAM_COUNT;
        }
        RETVAL_ZVAL(*num, 1, 0);
        convert_to_long_base(return_value, base);
}
intval函数只判断参数的第一个字符是否为整型,这样如果放在if中,只要满足变量第一个字符为整型,则返回值为ture,所以说用if来判断intval后的变量是不安全的。
分享到:
评论

相关推荐

    php基础教程-绝对推荐-吐血推荐

    php基础教程-绝对推荐-吐血推荐。入门最好的学习文档。

    七禧舞曲管理系统 PHP1.0 破解版

    我知道很多人问我为什么会这样。告诉大家,这套程序本身就是这样的。(在此我也希望有能力的朋友帮助完成后台添加的功能。) -----------------------------------------------------------------------------------...

    php基础教程-绝对推荐

    php基础教程-绝对推荐

    php应用程序安全编程_第一章.pdf

    - **常见的误解**:很多人认为服务器的安全是系统管理员的责任,而忽略了应用程序本身的安全性。 - **黑客入侵途径**:黑客往往通过利用应用程序的安全漏洞来获取服务器的控制权。因此,应用程序开发人员同样需要...

    PHP学习一本通-2017版

    - **年龄不是障碍**:很多人担心自己的年龄会成为学习新技能的障碍。然而,实际案例证明,无论年龄大小,只要有决心和毅力,都可以学会PHP,并且找到满意的工作。 - **案例分析**:举了一个40岁的学生以及一位自学...

    PHP双引号与单引号的区别,很多人认为php双引号单引号一样,其实还是有区别的

    在PHP编程语言中,双引号(")和单引号(')在表示字符串时确实存在一些微妙的差异,这些差异可能对程序性能和代码编写方式产生影响。以下是关于PHP双引号与单引号区别的详细解释。 首先,我们要明白PHP中的字符串...

    php_redis-3.1.4-7.2-nts-vc15-x86最新版,绝对可用

    标题 "php_redis-3.1.4-7.2-nts-vc15-x86最新版,绝对可用" 指的是一个针对PHP的Redis扩展包,版本为3.1.4,适用于PHP 7.2环境,是非线程安全(nts)版本,采用Visual C++ 15编译器构建,适用于x86架构的Windows系统...

    PHP最新版本7.0.1-nts-Win32-VC14-x86

    2. **nts(Non Thread Safe)** - 这表示这个构建不是线程安全的。线程安全的PHP版本适用于多线程环境,如IIS和FastCGI。非线程安全版本通常用于开发和调试,因为它们在某些情况下运行速度更快。 3. **Win32** - ...

    jsp论坛__叫好用 现在很多人用的

    【标题】"jsp论坛__叫好用 现在很多人用的" 提示我们这是一个基于JSP技术构建的论坛系统,受到用户欢迎并且被认为在功能和用户体验上表现优秀。JSP(JavaServer Pages)是Java平台上的一种动态网页技术,允许开发者...

    搞笑图片娱乐站《搞笑死了》 v1.2 完整版.zip

    本版本是娱乐站《搞笑死了》V1版本,已经很多人喜欢,并要求共享,所以今天分享出来!谢谢大家的支持。 名称:搞笑死了   程序优势: 1:ThinkPHP3.13 核心开发 2:伪静态设置 3:回收站设计 --------------...

    php-5.5.38-Win32-VC11-x64

    标题 "php-5.5.38-Win32-VC11-x64" 提供的信息表明,这是PHP的一个特定版本,适用于Windows操作系统,基于Visual C++ 11编译器构建,并且是为64位(x64)架构优化的。PHP是一种广泛使用的开源服务器端脚本语言,特别...

    php-5.3.17-nts-Win32-VC9-x86

    标题“php-5.3.17-nts-Win32-VC9-x86”表明这是一款基于Windows 32位系统、采用Visual C++ 9编译器(VC9)构建的非线程安全(NTS)版本的PHP 5.3.17。在Windows环境下,PHP的线程安全选项主要关乎是否支持多线程执行...

    很多人想要的QQ竞猜源码

    外面卖几百几千懂得人自然懂,现在免费分享给懂的人,小白,低级php程序员不要下载,下载了你也安装不上 本人不接受任何关于搭建方面的技术问答,谢谢! 推广域名 跳转域名 拉取微信用户信息域名 系统运营域名 支付...

    php-5.4.7.tar.gz

    1. **权限设置**:合理设置PHP-FPM运行用户和组,避免权限过大造成安全风险。 2. **配置优化**:调整php.ini中的配置参数,如内存限制、执行时间等,以适应应用需求。 3. **安全扩展**:安装如`mod_security`或`...

    许愿网许愿墙 v1 共享版.zip

    本版本是许愿站《许愿网》V1版本,已经很多人喜欢,并要 求共享,所以今天分享出来!谢谢大家的支持。   程序优势: 1:ThinkPHP3.13 核心开发,全新界面 2:伪静态设置 3:回收站设计   ----------------...

    php-7.1.10-Win32-VC14-x64

    标题“php-7.1.10-Win32-VC14-x64”指的是PHP的一个特定版本,这是PHP的7.1.10稳定版,为Windows 64位系统编译,使用Visual C++ 14(即Visual Studio 2015)进行编译。这个版本是专门为在Windows环境下运行而设计的...

    php-5.5.11-nts-Win32-VC11-x86.zip

    【标题】"php-5.5.11-nts-Win32-VC11-x86.zip"指的是PHP的一个特定版本,适用于Windows 32位操作系统。此版本是5.5.11,不包含线程安全(Non-Thread Safe,简称NTS),并且是由Visual C++ 11(Visual Studio 2012)...

Global site tag (gtag.js) - Google Analytics