溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

PHP操作用戶提交內(nèi)容時(shí)需要注意什么

發(fā)布時(shí)間:2021-06-22 16:48:41 來源:億速云 閱讀:163 作者:chen 欄目:編程語言

這篇文章主要介紹“PHP操作用戶提交內(nèi)容時(shí)需要注意什么”,在日常操作中,相信很多人在PHP操作用戶提交內(nèi)容時(shí)需要注意什么問題上存在疑惑,小編查閱了各式資料,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”PHP操作用戶提交內(nèi)容時(shí)需要注意什么”的疑惑有所幫助!接下來,請(qǐng)跟著小編一起來學(xué)習(xí)吧!

對(duì)于我們的程序開發(fā)來說,用戶的輸入是解決安全性問題的第一大入口。為什么這么說呢?不管是SQL注入、XSS還是文件上傳漏洞,全部都和用戶提交的輸入?yún)?shù)有關(guān)。今天我們不講這些問題,我們主要探討下面對(duì)用戶的輸入,有一些危險(xiǎn)的函數(shù)在未經(jīng)驗(yàn)證的情況下是不能直接使用這些函數(shù)來進(jìn)行操作的,比如:

include($g);

假設(shè)這個(gè) $g 是用戶提交的內(nèi)容,我們?cè)谖唇?jīng)驗(yàn)證的情況下直接使用這個(gè)參數(shù)來包含文件,我們傳遞的參數(shù)為 ?g=/etc/passwd ,那么服務(wù)器上所有的用戶帳號(hào)信息就很可能就直接泄露了。

另外,一些執(zhí)行 shell 命令的函數(shù)還是極度危險(xiǎn)的。

echo system($g);

當(dāng)我們傳遞的參數(shù)是 ?g=ls -la / 時(shí),同樣的服務(wù)器目錄也展示了出來,這還僅僅是顯示目錄結(jié)構(gòu),如果使用其它更恐怖的命令后果將不堪設(shè)想。

同理,我們經(jīng)常會(huì)根據(jù)一些id或指定的文件名來操作文件,特別是在刪除文件的時(shí)候,如果未加判斷,那么也可能直接去刪除某些非常重要的文件。

unlink('./' . $g);

我們繼續(xù)將 $g 構(gòu)造為 ?g=../../../xxxx ,如果在權(quán)限允許的情況下,就可以刪除各種系統(tǒng)文件。

對(duì)這些內(nèi)容,其實(shí)在 PHP 的官方手冊(cè)中就已經(jīng)給出了一些很好的建議,我們不妨來直接看看 PHP 手冊(cè)中是如何說的。

很多 PHP 程序所存在的重大弱點(diǎn)并不是 PHP 語言本身的問題,而是編程者的安全意識(shí)不高而導(dǎo)致的。因此,必須時(shí)時(shí)注意每一段代碼可能存在的問題,去發(fā)現(xiàn)非正確數(shù)據(jù)提交時(shí)可能造成的影響。

必須時(shí)常留意你的代碼,以確保每一個(gè)從客戶端提交的變量都經(jīng)過適當(dāng)?shù)臋z查,然后問自己以下一些問題:

  • 此腳本是否只能影響所預(yù)期的文件?

  • 非正常的數(shù)據(jù)被提交后能否產(chǎn)生作用?

  • 此腳本能用于計(jì)劃外的用途嗎?

  • 此腳本能否和其它腳本結(jié)合起來做壞事?

  • 是否所有的事務(wù)都被充分記錄了?

還可以考慮關(guān)閉 register_globals,magic_quotes 或者其它使編程更方便但會(huì)使某個(gè)變量的合法性,來源和其值被搞亂的設(shè)置。在開發(fā)時(shí),可以使用 error_reporting(E_ALL) 模式幫助檢查變量使用前是否有被檢查或被初始化,這樣就可以防止某些非正常的數(shù)據(jù)的撓亂了。

其實(shí),只要能遵守這些建議,大部分的安全問題都能得到解決。還是那句話,不能相信用戶的任何輸出,在測(cè)試的時(shí)候請(qǐng)做好各種驗(yàn)證,包括但不限于邊界值、特殊符號(hào)、特殊命令、越界值、目錄權(quán)限等。在非必要的情況下不要使用用戶的輸入作為包含文件、執(zhí)行腳本及文件操作的直接參數(shù),如果一定要用的話千萬要進(jìn)行各種形式的過濾驗(yàn)證。

測(cè)試代碼:

[https://github.com/zhangyue05...

到此,關(guān)于“PHP操作用戶提交內(nèi)容時(shí)需要注意什么”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站,小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

php
AI