ThinkPHP框架总结之安全及使用

ThinkPHP框架总结之安全及使用：

 

本片文章主要总结和介绍了使用TP过程中，加强项目安全的一些办法，具体是以例子为导向验证演示。

 

防止SQL注入：

针对WEB应用，防止SQL注入是首要考虑的安全问题，通常的安全隐患在于查询条件使用字符串参数，而且其中一些参数依赖于客户端输入，为了有效防止SQL注入，这里建议：

1、查询条件尽量使用数组方式，具体如下：

数组方式：

$wheres = array();

$wheres['account'] = $account;

$wheres['password'] = $password;

$User->where($wheres)->find();

2、如果必须使用字符串，那么建议使用预处理机制，具体如下：

$User = D('UserInfo');

$User->where('account="%s" andpassword="%s"',array($account,$password))->find();

3、可以使用PDO方式（绑定参数），因为这里未使用PDO，所以不罗列，感兴趣的读者可查询资料了解验证。

 

表单令牌验证：

TP框架支持对表单进行令牌验证功能，可以有效防止重复提交表单等安全问题。

 

1、如何启用表单令牌验证（默认是关闭的）

配置参数：

/* 表单令牌 */

    'TOKEN_ON' => true,// 是否开启令牌验证

     'TOKEN_NAME' => '__hash__', // 令牌验证的表单隐藏字段名称

     'TOKEN_TYPE' => 'md5', // 令牌哈希验证规则默认为MD5

     'TOKEN_RESET' => true// 令牌验证出错后是否重置令牌默认为true

这代表已经打开了表单令牌验证的开关，具体可查看注释说明。此时系统会自动在带有表单请求的模版文件中自动生成以TOKEN_NAME为名字的隐藏域，它的值是以TOKEN_TYPE规则的哈希字符串，用来实现表单的令牌验证。

注意：

如果模版文件中有多个表单，建议添加标志，只为需要验证的表单进行验证，如果不希望在某个页面表单验证，那么可以在控制器方法的输出语句前添加关闭验证表单命令：

C(“TOKEN_ON”,false);

$this->display();

2、表单令牌行为绑定

我的项目应用配置目录下，新建一tags.php文件，其中内容如下：

<?php

 return array(

           // 静态缓存写入时（行为绑定）

           'view_filter' => array('Behavior\TokenBuild'),

           // 如果是3.2.1以上版本需要改成

           // 'view_filter' =>array('Behavior\TokenBuildBehavior'),

 );

 ?>

存放位置：Project/Common/Conf/tags.php，代表执行到view_filter标签时执行表单令牌验证功能。

 

前端输入过滤：

客户端提交的数据存在不安全性，所以TP后台接口必须对提交的数据进行过滤，下面提供几点建议：

1、使用系统建议的I函数获得用户输入数据

2、开启表单令牌验证功能，如上表单令牌使用介绍

3、使用安全过滤函数，例如：stripslashes,htmlentities及strips_tags等

 

使用I函数过滤：

默认全局过滤－>

/* 输入过滤 */

'DEFAULT_FILTER'=> 'strip_tags,stripslashes', // 全局的I函数过滤规则多个

个别数据过滤－>

$account = I('post.account','','strip_tags');     // 用strip_tags过滤$_POST['account']

$password = I('post.password','','stripslashes'); // 用stripslashes过滤$_POST['password']

 

写入数据过滤：

如果没有使用I函数对数据过滤，那么可以在模型插入数据时过滤，具体如下：

$this->data($data)->filter('strip_tags')->add();

 

目录文件安全：

由于某些服务器开启了目录浏览权限，所以任何人都可以直接在浏览器中打开并访问对应目录，当然，系统默认开启了目录文件安全机制，会在自动生成目录时生成index.html空文件（默认名字，可以使用预定义语句：define(‘DIR_SECURE_FILENAME)’,’default.html’）设置名称），另外，还支持多个安全文件写入，用来满足不同服务器部署的要求（define(‘DIR_SECURE_FILENAME’,’index.html,index.htm’)）。

注意：默认生成的安全文件中的内容为空字符串，我们可以设定默认的值，使用预定义语句：define(‘DIR_SECURE_CONTENT’,’Hello Secure file!’)。

 

表单合法性检测：

处理表单提交数据时，我们建议使用Think\Model类中的create方法创建数据对象，因为使用该方法时，系统会对数据的合法性进行检查。

1、配置insertFields和updateFields属性

class UserInfoModelextends Model {

     // 数据表名字

     protected $tureTableName ='user_info';

    

     // 配置插入和修改的字段匹配设置（针对表单）

     protected $insertFields =array('account','nickname','mobile');

     protected $updateFields =array('nickname','mobile');

}

上面的定义之后，当我们使用了create方法创建数据对象后，再使用add方法插入数据时，只会插入上面配置的几个字段的值（更新类同），具体如下：

接口代码：

// 用户注册（示意性接口:插入）

     public function register() {

          // ...

          // 使用Model的create函数更安全

          $User= D('UserInfo');

          $User->create();

          $ID= $User->add();

          if($ID) {

               $result= $User->where('id=%d',array($ID))->find();

               echo json_encode($result);

          }

          // ...

     }

 

返回结果：

 

2、使用field方法直接处理

// 插入

M('User')->field('account,nickname,mobile')->create();

// 更新

M('User')->field('nickname,mobile’)->create();

 

上传文件安全：

Web网站上传文件存在安全隐患，所以需要对其进行安全检查和设置。系统TP提供的Think\Upload提供了对文件的类型、后缀、大小及上传文件的合法进行了检查，那么接下来需要确认相关的配置已经到位（后面总结文件上传时会详细介绍）。

 

 

防止XSS攻击：

XSS，跨站脚本攻击，可用于窃取其他用户的Cookie信息，要避免此类问题，可以采用如下解决方案：

• 直接过滤所有的JavaScript脚本；

• 转义Html元字符，使用htmlentities、htmlspecialchars等函数；

• 系统的扩展函数库提供了XSS安全过滤的remove_xss方法；

注意：新版对URL访问的一些系统变量已经做了XSS处理。

 

其他相关建议：

• 对所有公共的操作方法做必要的安全检查，防止用户通过URL直接调用；

• 不要缓存需要用户认证的页面；

• 对用户的上传文件，做必要的安全检查，例如上传路径和非法格式；

• 如非必要，不要开启服务器的目录浏览权限；

• 对于项目进行充分的测试，不要生成业务逻辑的安全隐患（很重要哦）；

最后一点，做好服务器的安全防护；

 

 

 

 

 

 

 

 

 

 

 

技术讨论群：489451956（新）