日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
探討PHP數(shù)據(jù)過濾的安全之道

在PHP的代碼編程中,特別要注意到額當(dāng)屬數(shù)據(jù)的安全性保障。在這篇文章中我們將會(huì)對(duì)PHP數(shù)據(jù)過濾在安全保障上的作用做一個(gè)詳細(xì)的分析。

#t#在指南的開始,我們說過數(shù)據(jù)過濾在任何語言、任何平臺(tái)上都是WEB應(yīng)用安全的基石。這包含檢驗(yàn)輸入到應(yīng)用的數(shù)據(jù)以及從應(yīng)用輸出的數(shù)據(jù),而一個(gè)好的軟件設(shè)計(jì)可以幫助開發(fā)人員做到:

確保PHP數(shù)據(jù)過濾無法被繞過,確保不合法的信息不會(huì)影響合法的信息,并且識(shí)別數(shù)據(jù)的來源。

關(guān)于如何確保數(shù)據(jù)過濾無法被繞過有各種各樣的觀點(diǎn),而其中的兩種觀點(diǎn)比其他更加通用并可提供更高級(jí)別的保障。

PHP數(shù)據(jù)過濾調(diào)度方法

這種方法是用一個(gè)單一的PHP腳本調(diào)度(通過 URL)。其他任何操作在必要的時(shí)候使用include或require包含進(jìn)來。這種方法一般需要每個(gè) URL 都傳遞一個(gè)單獨(dú)的GET變量用于調(diào)度。這個(gè)GET變量可以被認(rèn)為是用來替代腳本名稱的更加簡(jiǎn)化的設(shè)計(jì)。例如:

http://example.org/dispatch.php?task=print_formdispatch.php是***的根文件(Document root)。它可以讓開發(fā)者做兩件非常重要的事情:

在dispatch.php最開始實(shí)現(xiàn)一些全局的安全處理,并且確保這些處理不可以被繞過。容易確定在必要的地方進(jìn)行數(shù)據(jù)過濾,特別是一些特殊目的的控制流操作中??聪旅娴睦右员氵M(jìn)一步討論dispatch.php腳本:

 
 
 
    
  
  
  
  1. < ?php  
    2. 
  
  
  
  2. /* 全局安全處理 */  
    3. 
  
  
  
  3. switch ($_GET['task']){case 
    'print_form':include '/inc/
    presentation/form.inc';  
    4. 
  
  
  
  4. break;  
    5. 
  
  
  
  5. case 'process_form':$form_valid = false;  
    6. 
  
  
  
  6. include '/inc/logic/process.inc';  
    7. 
  
  
  
  7. if ($form_valid){include '/inc/
    presentation/end.inc';}else{include 
    '/inc/presentation/form.inc';}
    break;default:include '/inc/presentation
    /index.inc';  
    8. 
  
  
  
  8. break;  
    9. 
  
  
  
  9. }  
    10. 
  
  
  
  10. ?> 
    11.

如果這是***的可公開訪問到的 PHP 腳本,則可以確信的一點(diǎn)是這個(gè)程序的設(shè)計(jì)可以確保在最開始的全局安全處理無法被繞過。同時(shí)也讓開發(fā)者容易看到特定任務(wù)的控制流程。例如,不需要瀏覽整個(gè)代碼就可以容易的知道:當(dāng)$form_valid為true時(shí),end.inc是***顯示給用戶的;由于它在process.inc被包含之前,并剛剛初始化為false,可以確定的是process.inc的內(nèi)部邏輯會(huì)將設(shè)置它為true;否則表單將再次顯示(可能會(huì)顯示相關(guān)的錯(cuò)誤信息)。

PHP數(shù)據(jù)過濾要注意的問題

如果你使用目錄定向文件,如index.php(代替dispatch.php),你可以像這樣使用 URL 地址:http://example.org/?task=print_form。

你還可以使用ApacheForceType重定向或者mod_rewrite來調(diào)整 URL 地址:http://example.org/app/print-form。

PHP數(shù)據(jù)過濾的包含方法

另外一種方式是使用單獨(dú)一個(gè)模塊,這個(gè)模塊負(fù)責(zé)所有的安全處理。這個(gè)模塊被包含在所有公開的 PHP 腳本的最前端(或者非??壳暗牟糠郑?。參考下面的腳本security.inc

 
 
 
    
  
  
  
  1. < ?php  
    2. 
  
  
  
  2. switch ($_POST['form'])  
    3. 
  
  
  
  3. {case 'login':  
    4. 
  
  
  
  4. $allowed = array();  
    5. 
  
  
  
  5. $allowed[] = 'form';  
    6. 
  
  
  
  6. $allowed[] = 'username';  
    7. 
  
  
  
  7. $allowed[] = 'password';  
    8. 
  
  
  
  8. $sent = array_keys($_POST);  
    9. 
  
  
  
  9. if ($allowed == $sent)  
    10. 
  
  
  
  10. {include '/inc/logic/
    process.inc';}  
    11. 
  
  
  
  11. break;  
    12. 
  
  
  
  12. }  
    13. 
  
  
  
  13. ?> 
    14.

在這個(gè)PHP數(shù)據(jù)過濾例中,每個(gè)提交過來的表單都認(rèn)為應(yīng)當(dāng)含有form這個(gè)***驗(yàn)證值,并且security.inc獨(dú)立處理表單中0需要過濾的數(shù)據(jù)。實(shí)現(xiàn)這個(gè)要求的HTML表單如下所示:

 
 
 
    
  
  
  
  1. < form. action="/receive.php" 
    method="POST"> 
    2. 
  
  
  
  2. name="form" value="login" /> 
    3. 
  
  
  
  3. < p>Username:  
    4. 
  
  
  
  4.  
    5. 
  
  
  
  5. < /p> 
    6. 
  
  
  
  6. < p>Password:type="password" name="password" /> 
    7. 
  
  
  
  7. < /p> 
    8. 
  
  
  
  8. < input type="submit" /> 
    9. 
  
  
  
  9. < /form> 
    10.

叫做$allowed的數(shù)組用來檢驗(yàn)?zāi)膫€(gè)表單變量是允許的, 這個(gè)列表在表單被處理前應(yīng)當(dāng)是一致的。流程控制決定要執(zhí)行什么,而process.inc是真正過濾后的數(shù)據(jù)到達(dá)的地方。

注意

確保security.inc總是被包含在每個(gè)腳本的最開始的位置比較好的方法是使用auto_prepend_file設(shè)置。

PHP數(shù)據(jù)過濾的例子

建立白名單對(duì)于PHP數(shù)據(jù)過濾是非常重要的。由于不可能對(duì)每一種可能遇到的表單數(shù)據(jù)都給出例子,部分例子可以幫助你對(duì)此有一個(gè)大體的了解。

下面的代碼對(duì)郵件地址進(jìn)行了驗(yàn)證:

 
 
 
    
  
  
  
  1. < ?php  
    2. 
  
  
  
  2. $clean = array();  
    3. 
  
  
  
  3. $email_pattern = '
    /^[^@\s<&>]+@([-a-z0-9]+\.)
    +[a-z]{2,}$/i';  
    4. 
  
  
  
  4. if (preg_match($email_
    pattern, $_POST['email']))  
    5. 
  
  
  
  5. {$clean['email'] = $_POST
    ['email'];}  
    6. 
  
  
  
  6. ?> 
    7.

下面的PHP數(shù)據(jù)過濾代碼確保了$_POST['color']的內(nèi)容是red,green,或者blue:

 
 
 
    
  
  
  
  1. < ?php  
    2. 
  
  
  
  2. $clean = array();  
    3. 
  
  
  
  3. switch ($_POST['color'])
    {case 'red':case 'green':case 
    'blue':$clean['color'] = 
    $_POST['color'];  
    4. 
  
  
  
  4. break;  
    5. 
  
  
  
  5. }  
    6. 
  
  
  
  6. ?> 
    7.

下面的PHP數(shù)據(jù)過濾代碼確保$_POST['num']是一個(gè)整數(shù)(integer):

 
 
 
    
  
  
  
  1. < ?php  
    2. 
  
  
  
  2. $clean = array();  
    3. 
  
  
  
  3. if ($_POST['num'] == 
    strval(intval($_
    POST['num']))){$clean
    ['num'] = $_POST['num'];  
    4. 
  
  
  
  4. }  
    5. 
  
  
  
  5. ?> 
    6.

下面的PHP數(shù)據(jù)過濾代碼確保$_POST['num']是一個(gè)浮點(diǎn)數(shù)(float):

 
 
 
    
  
  
  
  1. < ?php  
    2. 
  
  
  
  2. $clean = array();  
    3. 
  
  
  
  3. if ($_POST['num'] == 
    strval(floatval($_POST
    ['num']))){$clean['num'] 
    = $_POST['num'];  
    4. 
  
  
  
  4. }  
    5. 
  
  
  
  5. ?> 
    6.

PHP數(shù)據(jù)過濾的名字轉(zhuǎn)換

之前每個(gè)例子都使用了數(shù)組$clean。對(duì)于開發(fā)人員判斷數(shù)據(jù)是否有潛在的威脅這是一個(gè)很好的習(xí)慣。 永遠(yuǎn)不要在對(duì)數(shù)據(jù)驗(yàn)證后還將其保存在$_POST或者$_GET中,作為開發(fā)人員對(duì)超級(jí)全局?jǐn)?shù)組中保存的數(shù)據(jù)總是應(yīng)當(dāng)保持充分的懷疑。

需要補(bǔ)充的是,使用$clean可以幫助思考還有什么沒有被過濾,這更類似一個(gè)白名單的作用??梢蕴嵘踩牡燃?jí)。

如果僅僅將驗(yàn)證過的數(shù)據(jù)保存在$clean,在數(shù)據(jù)驗(yàn)證上僅存的風(fēng)險(xiǎn)是你所引用的數(shù)組元素不存在,而不是未過濾的危險(xiǎn)數(shù)據(jù)。

PHP數(shù)據(jù)過濾的時(shí)機(jī)

一旦 PHP 腳本開始執(zhí)行,則意味著 HTTP 請(qǐng)求已經(jīng)全部結(jié)束。此時(shí),用戶便沒有機(jī)會(huì)向腳本發(fā)送數(shù)據(jù)。因此,沒有數(shù)據(jù)可以被輸入到腳本中(甚至register_globals被開啟的情況下)。這就是為什么初始化變量是非常好的習(xí)慣。


文章名稱:探討PHP數(shù)據(jù)過濾的安全之道
文章分享:http://m.5511xx.com/article/dhojshe.html