PHP操作用戶提交內(nèi)容時需要注意哪些危險(xiǎn)函數(shù)

PHP操作用戶提交內(nèi)容時需要注意的危險(xiǎn)函數(shù)

對于我們的程序開發(fā)來說，用戶的輸入是解決安全性問題的第一大入口。為什么這么說呢？不管是SQL注入、XSS還是文件上傳漏洞，全部都和用戶提交的輸入?yún)?shù)有關(guān)。今天我們不講這些問題，我們主要探討下面對用戶的輸入，有一些危險(xiǎn)的函數(shù)在未經(jīng)驗(yàn)證的情況下是不能直接使用這些函數(shù)來進(jìn)行操作的，比如：

include($g);

假設(shè)這個 $g 是用戶提交的內(nèi)容，我們在未經(jīng)驗(yàn)證的情況下直接使用這個參數(shù)來包含文件，我們傳遞的參數(shù)為 ?g=/etc/passwd ，那么服務(wù)器上所有的用戶帳號信息就很可能就直接泄露了。

另外，一些執(zhí)行 shell 命令的函數(shù)還是極度危險(xiǎn)的。

echo system($g);

當(dāng)我們傳遞的參數(shù)是 ?g=ls -la / 時，同樣的服務(wù)器目錄也展示了出來，這還僅僅是顯示目錄結(jié)構(gòu)，如果使用其它更恐怖的命令后果將不堪設(shè)想。

同理，我們經(jīng)常會根據(jù)一些id或指定的文件名來操作文件，特別是在刪除文件的時候，如果未加判斷，那么也可能直接去刪除某些非常重要的文件。

unlink('./' . $g);

我們繼續(xù)將 $g 構(gòu)造為 ?g=../../../xxxx ，如果在權(quán)限允許的情況下，就可以刪除各種系統(tǒng)文件。

對這些內(nèi)容，其實(shí)在 PHP 的官方手冊中就已經(jīng)給出了一些很好的建議，我們不妨來直接看看 PHP 手冊中是如何說的。

很多 PHP 程序所存在的重大弱點(diǎn)并不是 PHP 語言本身的問題，而是編程者的安全意識不高而導(dǎo)致的。因此，必須時時注意每一段代碼可能存在的問題，去發(fā)現(xiàn)非正確數(shù)據(jù)提交時可能造成的影響。

必須時常留意你的代碼，以確保每一個從客戶端提交的變量都經(jīng)過適當(dāng)?shù)臋z查，然后問自己以下一些問題：

• 此腳本是否只能影響所預(yù)期的文件？
• 非正常的數(shù)據(jù)被提交后能否產(chǎn)生作用？
• 此腳本能用于計(jì)劃外的用途嗎？
• 此腳本能否和其它腳本結(jié)合起來做壞事？
• 是否所有的事務(wù)都被充分記錄了？

還可以考慮關(guān)閉 register_globals，magic_quotes 或者其它使編程更方便但會使某個變量的合法性，來源和其值被搞亂的設(shè)置。在開發(fā)時，可以使用 error_reporting(E_ALL) 模式幫助檢查變量使用前是否有被檢查或被初始化，這樣就可以防止某些非正常的數(shù)據(jù)的撓亂了。

其實(shí)，只要能遵守這些建議，大部分的安全問題都能得到解決。還是那句話，不能相信用戶的任何輸出，在測試的時候請做好各種驗(yàn)證，包括但不限于邊界值、特殊符號、特殊命令、越界值、目錄權(quán)限等。在非必要的情況下不要使用用戶的輸入作為包含文件、執(zhí)行腳本及文件操作的直接參數(shù)，如果一定要用的話千萬要進(jìn)行各種形式的過濾驗(yàn)證。