网站管理员对所有[b]从外部输入的文件必须检查其内容是否存在恶意代码[/b],同时[url=http://dev.21tx.com/database/]数据库[/url]安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式,这里不做详细阐述,用户如果希望了解数据库安全信息,我会按需求详细介绍。
[b]Magic Quotes[/b]
Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开,也可以将NULL字节从用户的输入信息中分开。当开启MagicQuote时的一个问题是你是否希望你的用户进行引号过滤。如果你关闭MagicQuote的话可以在“runtime”中分析到用户输入数据的字符串。
如果你对PHP还不熟悉,我建议你开启这一功能直到你学会了怎么样分析和表现用户输入的数据。我个人建议使用我编写的“清除”功能。我将会给你提供一个模板,这样你就可以自己编写一个清除功能了。
[table][tr][td] <?php
function clean($string)
{
$string = stripslashes($string);
$string = htmlentities($string);
$string = strip_tags($string);
return $string;
}
?>
[/td][/tr][/table]
如果你的用户正在提交一个需要用户名验证的form时,你可以使用如下的功能:
[table][tr][td] <?php
$username = $_POST[username];
echo clean($mystring);
?>
[/td][/tr][/table]
对于这个MagicQuote来说,有3种指令来实现。你可以参考php[url=http://dev.21tx.com/dotnet/].net[/url]网站或是php manual。这三种指示基本上就是magic_quotes_gpc,这些用来处理访问请求(get,post,cookies)。magic_quotes_runtime用来处理文件和数据库,外部文件。第三种就是magic_quotes_[url=http://dev.21tx.com/database/sybase/]Sybase[/url],如果它被激活的话就会直接废掉magic_quotes_gpc。
[b]通过朦胧而获得的安全[/b]
最近你可能没有注意到,但是我发现在一些网站上的PHP语言中可以找得到[url=http://dev.21tx.com/web/asp/]ASP[/url] (Active Server Page 动态服务器主页)或是[url=http://dev.21tx.com/web/perl/]Perl[/url](一种GGI脚本语言)扩展语言,我们可以100%肯定这个网站使用的正是PHP/SQL为基础的架构。这是一种典型的迷惑式安全策略,而不是告诉黑客你使用的正是PHP脚本从而误导他们以为你运行的是PERL或python或是其它任何脚本语言。
例如,你可以使用php扩展运行php脚本,就和一般情况下一样。为了不让别人看到你的"hello.php"脚本,你实际上使用Apache来隐藏或是迷惑真正的文件扩展名。因此不是使用的"hello.php"扩展名,你可以将这些文件伪装成PERL语言,你的"hello.php"仍然是PHP脚本。就像下面一样:
[quote]AddType application/x-httpd-php .asp .py .pl[/quote]
我最喜欢的就是编一个文件扩展名, 譬如 .sun 或 .fuck
[quote]AddType application/x-httpd-php .sun .fuck .1e3t[/quote]
我确信当黑客在碰到看似是运行php文件的。Sun文件的时候会急于发动攻击,后果可想而知。试一下就知道了。上面的代码使用于Apache配置文件,如果你是在一台共享的主机上的话你就不会访问到Apache配置文件。
[b]Re[url=http://dev.21tx.com/corp/gis/]GIS[/url]ter Globals[/b]
当Global4.2版本出现时PHP发生很大的变化。对于php.ini文件中的INI文件来说这是一个开或闭的选择,PHP并不是逼你采用类似其它语言一样的原始参数,正因为如此,人们将它看作是一种不安全的语言。当register globals开启的时候,它就会允许设置参数的请求。最好的例子就是用户注册形式。我们假设register globals开启:
[table][tr][td] <?php
if($authed = true) {
echo "my sensitive information";
}
?>
[/td][/tr][/table]
任何用户都可以通过发送GET请求访问敏感信息。你可以通过telnet(用于远程联接服务的标准协议或者实现此协议的软件远程登录)或是浏览器,譬如sin.php?authed=true,这样就会显示敏感信息。如果我们将其关闭,就会阻止这一问题,现在当我们访问sin.php?authed=true页面的时候,就会一片空白。用户不能从外部来源初始化变量。另外一个保护你的变量免于外部来源影响的一个办法就是检查它们是否是通过GET或是POST请求。
[table][tr][td] <?php
$authed = true;
if(isset($_POST[authed]) || $_GET[authed]) {
echo "variable violation";
} else {
if($authed == true) {
echo "my sensitive information";
}
}
?>
[/td][/tr][/table]
通过监控GET或是POST请求我们就可以检查到是否有人在我们的变量中注入什么东西。接下来我们收到的消息不仅包括他们已经破坏了变量,还可以及时通知管理员做出应急措施。