php安全编码规范

安全编码规范是一套面向应用开发人员的安全参考手册。应用开发人员通过阅读文档,获取每一类安全
漏洞产生的防范方法,从而在程序开发过程中尽量避免安全问题的产生。通过安全编码规范的约
束,使开发人员能够养成良好的编程习惯,减少系统安全漏洞的产生。

php安全库rhizobia

目录

一、安全编码基本原则

1.1 所有输入数据都是有害的

直接输入数据:

        对于用户通过 GET, POST, COOKIE, REQUEST等输入的数据以及框架提供的数据来源,即通信协议中从客户端传过来的一切变量,无论是用户手动填写的数据或是客户端浏览器或操作系统自动填写的数据,都可能产生安全问题,需要进行严格的安全性检查。

间接的输入数据:

        从数据库、文件、网络、内部API获取的数据等,即一些不直接来源于用户,但是又不是程序中定义好的常量数据。比如用户的输入经过层层转化输出到数据库或文件,后面又再次利用的时候,这时获得的数据依然是不可信的,同样需要进行严格的安全性检查。

1.2 不依赖运行环境的安全配置

        不能寄希望于配置文件的安全选项,必须将程序置身于最不安全的配置下进行考虑。

1.3 安全控制措施落实在最后执行阶段

        每个安全问题都有其产生的原因,例如SQL注入的原因是SQL语句参数拼接。因此对SQL注入问题的防范,需要在SQL语句执行前对参数进行安全处理,因为此时才能确定预期的参数数据类型、数据范围等。

1.4 最小化

        最小化原则适用于所有安全相关的领域,在代码安全方面主要表现为:

1、用户输入最小化。尽可能少地使用用户的输入。

2、用户输入范围最小化。过滤参数时应使用白名单策略,对于可明确定义范围的参数检查参数的有效性,譬如Email,卡号,身份证号等。

3、返回信息最小化。程序错误信息等应对用户屏蔽,不要将原始错误信息直接返回到用户侧。

1.5 失败终止

        对用户提交的数据进行安全性检查的时候,如果发现数据不符合要求应终止业务的执行,不要试图修正和转换用户提交的参数继续向下执行。

二、 常见漏洞安全编码

2.1 低版本框架、库漏洞

安全方法: 此类安全问题应使用稳定的高版本框架、库进行开发。

2.2 Command Injection

安全方法: 无法规避此类功能时,应使用白名单控制:

if(isset($_POST["target"]))
{
    $target = $_POST["target"];
    switch ($target) {
    case "www.protect.domain": echo "" . shell_exec("nslookup  www.protect.domain") . "";
        break;
    case "web.protect.domain": echo "" . shell_exec("nslookup  web.protect.domain") . "";
        break;
    ...
    default: echo "" . shell_exec("nslookup  www.protect.domain") . "";
    }          
}

2.3 SQL Injection

安全方法:

注意: 不论项目是否使用了框架,涉及到的表名、字段名用户可控时,均应先使用白名单对此类数据进行处理:

switch ($order){
    case "id": $order="id";
        break;
    case "name":$order="name";
        break;
    default :$order="id";  
}

a、未使用框架时,可使用rhizobia_P项目提供的安全方法:

//查询
$result=$this->db->select()->from("table_name")->where("id","=",$id)->execute()->fetchAll();   
//删除
$result=$this->db->delete()->from("table_name")->where("name","like","%".$name."%")->execute();    
//插入
$result=$this->db->insert(array("name","age"))->into("table_name")->values(array($name,$age))->execute();       
//更新
$result=$this->db->update(array("name" => $name))->table("table_name")->where("id", "=", $id)->execute();       

b、使用Yii、laravel、CodeIgniter框架时,可使用框架自带的数据库访问方法。

Yii 2.0

//查询
Users::find()->where(["id"=>$id])->orderBy("name")->select("id,name")->one();
//插入
$user=new Users();
$user->age=$age;
$user->name=$name;
$user->save();
//单条更新
$use=Users::find()->where(["id"=>$id])->orderBy("name")->select("id,name")->one();
$use->name=$name;
$use->save();
//多条更新
$result=Users::find()->where([">","id",$id])->orderBy("name")->select("id,name")->all();
foreach ($result as $item){
    $item->name=$name;
    $item->save();
}
//删除
Users::deleteAll(["id"=>$id]);

Laravel

//查询
DB::table("table_name")->where("id",$id)->orderBy("id")->get();
//插入                       
DB::table("table_name")->insert(["name" => $name, "age" => $age]); 
//更新                    
DB::table("table_name")->where("id", $id)->update(["name" => $name]);  
//删除                    
DB::table("table_name")->where("age", $age)->delete();                                

CodeIgniter

//查询
$result = $this->db->select("*")->from("table_name")->where("userid", $userid)->order_by("id")->get();     
//插入 
$this->db->insert("table_name", array("title" => $title, "userid" => $userid));  
//更新                              
$this->db->where("id",$id)->update("table_name", array("name" => $title, "age" => $age));             
//删除
$this->db->where("id", $id)->delete("table_name");              

2.4 XSS

安全方法:

a、用户可控数据不需存储直接响应的,应编码输出。

// html实体编码输出
$this->securityUtil->encodeForHTML($data);   
// javascript编码输出
$this->securityUtil->encodeForJavaScript($data) 

b、用户可控数据需存储展示或用于其他系统展示的,应过滤危险字符。

$this->securityUtil->purifier($_GET["data"]);

注意: 输入过滤会改变用户输入。应结合具体业务场景搭配使用输入过滤、输出编码。

2.5 CSRF

安全方法:

前端应从cookie中获取在认证通过后植入的csrf_token,并以POST方式提交包含csrf_token值的请求,前端代码如下:

function getCookie() {
    var value = "; " + document.cookie;
    var parts = value.split("; csrf_token=");
    if (parts.length == 2) 
        return parts.pop().split(";").shift();
}

$.ajax({
    type: "post",
    url: "/xxxx",
    data: {csrf_token:getCookie()},
    dataType: "json",
    success: function (data) {
        if (data.ec == 200) {
         //do something
        }
    }
});

后端应从POST请求体中提取csrf_token参数值,进行校验,代码如下:

if(!$this->securityUtil->verifyCSRFToken()){
    return ;   //csrf token 校验失败
}
// 开始处理业务逻辑

注意: 受csrf_token生成方式影响,当存在XSS时,会导致全局CSRF防护措施失效。

2.6 URL Redirect

安全方法: 此类安全问题服务端应根据具体的业务需求防止不安全的重定向:

a、如果跳转后的链接比较少且比较固定,那么可以在服务端对参数进行白名单限制,非白名单里面的URL禁止跳转。

$index=intval($_GET["index"]);
switch($index){
    case 1:  $url="https://www.protect.domain/";
        break;  
    case 2:  $url="https://web.protect.domain/";
        break;
    ...
    default: $url="https://web.protect.domain/";
}
header("Location:".$url);

当链接比较多时,可根据索引从数据库检索。

b、如仅希望在当前域跳转,或因业务需要,跳转的链接经常变化且比较多,应做个二次确认页,对非当前域的链接,提示用户将跳转到其他网站:

$white=[".protect.domain"];
//校验是否为信任域
if(!$this->securityUtil->verifyRedirectUrl($url,$white)){ 
    // 非信任域名,提供二次确认页
}
// 开始处理业务逻辑

2.7 路径可控

安全方法: 无法规避外界指定路径名时,应使用白名单处理:

$directory = $_GET["directory"];
switch ($directory) {
      // $directory重新赋值
      case "./image":$directory="./image";  
             break;
      case "./page":$directory="./page";
             break;
      ...
      default:$directory="./image";
}
while($line = readdir($directory))
{  
     //do something
} 

2.8 Code Injection

安全方法: 无法规避此类功能时,应精确匹配用户提交数据:

$name=strval($_POST["name"]);
$regex="/^[a-zA-Z0-9]{3,20}$/";
if(preg_match($regex,$name,$matches) && $matches[0]===$name)
{
    eval ("echo '" . $name . "';");
}

2.9 Xpath Injection

安全方法: 此类安全问题应精确匹配用户输入:

if(isset($_POST["login"]) && $_POST["login"]){
	if(isset($_POST["password"]) && $_POST["password"]){
		$login = strval($_POST["login"]);
   		$password = strval($_POST["password"]);
   		$xml = simplexml_load_file("./heroes.xml");
   		$regex="/^[a-zA-Z0-9]{3,20}$/";
   		if(preg_match($regex,$login,$match_login) && $match_login[0]===$login){
   		    if(preg_match($regex,$password,$match_password) && $match_password[0]===$password){
   		        $result = $xml->xpath("/heroes/hero[login= '" . $login . "' and password= '" . $password . "' ]");
   		        //业务逻辑
   		    }
   		}
	}
}

2.10 资源泄露

安全方法: 此类安全问题应在相关操作完成后释放资源:

$file = fopen("file.txt", "w") or die("Unable to open file!");
...
//关闭由fopen()函数打开的文件
fclose($file);

2.11 XXE

安全方法: 此类安全问题应在解析XML数据时显式禁止加载外部实体:

//禁止加载外部实体
libxml_disable_entity_loader(true); 
//解析xml数据
$xml = simplexml_load_string($data);

2.12 SSRF

安全方法: 应校验传入ip地址是否为内部ip:

if (!$this->securityUtil->verifySSRFURL($url)) {
    return ; //内部ip
}
//开始处理业务逻辑

2.13 敏感信息泄露

安全方法: 此类安全问题应在代码上线之前删除注释信息(特别是敏感信息),合理设置忽略文件:

a、gitlab/github
项目根目录新建文档 .gitignore,内容可参考.gitignore

b、SVN
新建文档.svnignore,内容可参考.gitignore,执行:

svn propset svn:ignore -R -F .svnignore .

注意: 当使用add的时候,禁止使用:

svn add *

这样会把忽略中的文件也添加到仓库。应使如下命令:

svn add --force .

2.14 越权漏洞

安全方法: 涉及到用户数据的增删改查,应校验数据归属:

$articleId=$_GET["articleId"];
//用户登录状态下,从session取出用户唯一标识userid
$userId = session("userId");
...
//关联用户信息执行数据库操作
$stmt = $db->prepare("UPDATE articles SET del_flag=1 WHERE articleId=? ANS userId=?"); 
$stmt->bind_param("ss",$articleId, $userid);
$stmt->execute();

2.15 MongoDB Injection

安全方法:
涉及到MongoDB的操作,应禁用execute方法,校验数据类型:

$appId  = $this->request->post("appId");
$num = $this->request->post("num");
...
//校验数据类型
if(!is_array($appId)&&!is_array($num)) 
{
    $criteria = ["appId" => $appId, "num" => $num];
    $ret = $this->mongodb->findOne($criteria);
}

预期数据类型明确的(如商品数量),应在接收用户提交数据时直接强制数据类型转换,避免因校验不严谨可能带来的其他问题。

2.16 弱类型漏洞

安全方法:

注意:

a、涉及多字符串拼接进行md5运算时,应在各拼接字符串之间添加分隔符:

//避免md5("1234"."14"."234")===md5("1234"."1"."4234")
md5($secret . "|" . $uid . "|" . $code);  

b、涉及到函数返回结果既可能是布尔值(FALSE),也可能是等同于布尔值(FALSE)的非布尔值且返回结果用于判断时,需显式判断执行结果

以内置函数strpos为例:

int strpos ( string $haystack , mixed $needle [, int $offset = 0 ] )

该函数:

1)返回 n e e d l e 在 needle在 needlehaystack中首次出现的数字位置;

2)未找到时返回布尔值FALSE;

3)当 n e e d l e 在 needle在 needlehaystack起始位置出现时,会返回0.

则安全编码应为:

$domain="https://www.protect.domain";
//禁止 if(!strpos($domain,"https")) 或 if(strpos($domain,"https")!=false)的方式
if(strpos($domain,"https")!==false){  
    //处理业务逻辑
}

此类安全问题应使用=== 代替 == , !== 代替 !=。

if (isset($_GET["id"]) && isset($_GET["userId"])) {
    $id = strval($_GET["id"]);
    $userId = strval($_GET["userId"]);
    //防止出现 md5("240610708")==md5("QNKCDZO")
    if (md5($id) !== md5($userId)) {
       return ;
    }
    //业务逻辑
}

2.17 任意文件上传

安全方法: 此类安全问题应校验上传文件大小、后缀、类型等是否符合要求:

$config=array('limit'=>5 * 1024 * 1024, //允许上传的文件最大大小
    'type'=>array(                      //允许的上传文件后缀及MIME
         "gif"=>"image/gif",
         "jpg"=>"image/jpeg",
         "png"=>"image/png")
);

$file = $_FILES["file"];
$data=$this->securityUtil->verifyUploadFile($file, $config);
if($data['flag']!==true){
    return; //上传失败 
}
//生成新的文件名拼接$data['ext']上传到文件服务器

2.18 本地文件包含

安全方法: 无法规避外界指定文件名时,应使用白名单处理:

$filename =$_GET["filename"];
switch ($filename) {
      case "lfi.txt":include("./lfi.txt");
             break;
      ...
      default:include("./notexists.txt");
}

2.19 并发问题

安全方法:

php+mysql(InnoDB、REPEATABLE-READ)

此类安全问题在已使用事务的前提下,应使用悲观锁或乐观锁解决:

悲观锁:

mysqli_query($conn, "BEGIN");
$rs = mysqli_query($conn, "SELECT num FROM oversold WHERE id = 1 FOR UPDATE ");  //for UPDATE 
$row = mysqli_fetch_array($rs);
$num = $row[0];
if($num>0)
{
    //do something
    mysqli_query($conn, "UPDATE oversold SET num = num - 1 WHERE id = 1");
}
if(mysqli_errno($conn)) {
    mysqli_query($conn, "ROLLBACK");
} else {
    mysqli_query($conn, "COMMIT");
}
mysqli_close($conn);

SELECT … FOR UPDATE加悲观锁,保证总是获取最新的数据,适合写入频繁的场景.

乐观锁:
需使用一个新的字段version保存版本号:

mysqli_query($conn, "BEGIN");
$result = mysqli_query($conn, "SELECT num,version FROM oversold WHERE id = 1 ");
$row = mysqli_fetch_array($result);
$num = $row[0];
$version=$row[1];
if($num>0)
{
    //do something
    $stmt=$conn->prepare("UPDATE oversold SET num = num - 1,version=version+1 WHERE id = 1 AND version= ? ");
    $stmt->bind_param("i",$version);
    $stmt->execute();
}
if(mysqli_errno($conn)) {
    mysqli_query($conn, "ROLLBACK");
} else {
    mysqli_query($conn, "COMMIT");
}
mysqli_close($conn);

乐观锁比较适合数据修改比较少,读取比较频繁的场景。

注意: 悲观锁会带来比较大的性能开销,而乐观锁可能会读取到脏数据,具体采用哪种加锁方式可根据具体业务场景确定。

php+redis

当redis版本不小于2.6.12时,应使用set指令限流避免并发问题。set指定用法如下:

redis > SET KEY VALUE [EX seconds] [PX milliseconds] [NX|XX]
  ● EX seconds - 设置指定的过期时间,单位为秒。
  ● PX milliseconds - 设置指定的过期时间,单位为毫秒。
  ● NX - 仅当KEY不存在时,设置KEY的值为VALUE。
  ● XX - 仅当KEY存在时,设置KEY的值为VALUE。

代码示例:

$res=$redis->set($key, $value, ["nx", "px"=>$ps]);
if(!$res){
    throw new Exception("操作太快了,请稍后再试!"); 
}
//开始处理业务逻辑

以上代码,在 p s 毫 秒 内 , 对 指 定 的 ps毫秒内,对指定的 pskey,仅允许执行一次业务逻辑。

注意: 涉及到的key应结合具体业务场景注意key过期时间的设置,防止key的膨胀。

2.20 WebSocket跨站劫持

安全方法: 此类安全问题服务端应校验Origin头:

$origin="https://www.protect.domain/";
...
function CheckOrigin(){
    if (array_key_exists("Origin", $_SERVER)) {
        $value = $_SERVER["Origin"];
        if($origin===$value){   
            return ture;
        }
    }
    return false;  
}
目 录 1 PHP接口安全 4 1.1 指定公布给外部的资源,客户端只能访问允许访问的资源 4 1.1.1 说明 4 1.1.2 应对 4 1.1.3 举例 4 1.2 定义所有接口的参数,并做严格的检查 5 1.2.1 说明 5 1.2.2 应对 5 1.2.3 举例 5 1.3 不能让客户端看到任何不友好的错误信息 5 1.3.1 说明 5 1.3.2 应对 5 1.3.3 举例 5 二、PHP编码安全 6 2.1 POST/GET参数传值/字符串输入/数据入库等严格的危险字符过滤处理 6 2.1.1 说明 6 2.2.2 应对 6 2.2.3 举例 6 2.2 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理 8 2.2.1 说明 8 2.2.2 应对 8 2.2.3 举例 8 2.3 敏感信息(如PASSWORD/银行帐号等)不要依赖COOKIE,SESSION,最好读表,并尽量缓存读表数据 8 2.3.1 说明 8 2.3.2 应对 9 2.3.3 举例 9 2.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露 10 2.4.1 说明 10 2.4.2 应对 10 2.4.3 举例 10 2.5 屏蔽或定制化出错信息 10 2.5.1 说明 10 2.5.2 应对 11 2.5.3 举例 11 2.6 数据库的读取等操作、POST/GET传值需要做频率限制与Token校验 11 2.6.1 说明 11 2.6.2 应对 11 2.6.3 举例 11 2.7 有类似文件下载/或文本流下载等功能的,尽量避免使用URL直接调用目标文件地址的方式 12 2.7.1 说明 12 2.7.2 应对 12 2.7.3 举例 12 2.8 MYSQL 的用户最好分开,不要用ROOT用户来连接MYSQL 13 2.8.1 说明 13 2.8.2 应对 13 2.8.3 举例 13 3 参考内容 13
java,c/c++,php,c#安全编码规范,从代码层面避免被入侵 1 业务安全编码规范 6 1.1 输入验证和数据合法性校验 6 1.1.1 避免SQL注入 6 1.1.2 避免XML注入 6 1.1.3 避免跨站点脚本(XSS) 7 1.1.4 避免跨站请求伪造(CSRF) 8 1.1.5 避免敏感信息泄露 12 1.2 安全框架 12 1.2.1 Apache Shiro安全框架 12 1.2.2 webSecrity安全框架 13 1.2.3 Enterprise Security API 13 2 基础安全编码规范 15 2.1 声明和初始化 15 2.1.1 避免类初始化的相互依赖 15 2.2 表达式 16 2.2.1 不可忽略方法的返回值 16 2.2.2 不要引用空指针 16 2.2.3 使用Arrays.equals()来比较数组的内容 16 2.3 数字类型和操作 17 2.3.1 防止整数溢出 17 2.3.2 避免除法和取模运算分母为零 18 2.4 类和方法操作 18 2.4.1 数据成员声明为私有,提供可访问的包装方法 18 2.4.2 敏感类不允许复制 18 2.4.3 比较类的正确做法 19 2.4.4 不要硬编码敏感信息 19 2.4.5 验证方法参数 19 2.4.6 不要使用过时、陈旧或低效的方法 20 2.4.7 数组引用问题 20 2.4.8 不要产生内存泄露 20 2.5 异常处理 21 2.5.1 不要忽略捕获的异常 21 2.5.2 不允许暴露异常的敏感信息 21 2.5.3 不允许抛出RuntimeException, Exception,Throwable 22 2.6 多线程编程 23 2.6.1 确保共享变量的可见性 23 2.6.2 确保共享变量的操作是原子的 24 2.6.3 不要调用Thread.run(),不要使用Thread.stop()以终止线程 26 2.6.4 确保执行阻塞操作的线程可以终止 26 2.6.5 相互依存的任务不要在一个有限的线程池执行 27 2.7 输入输出 27 2.7.1 程序终止前删除临时文件 27 2.7.2 检测和处理文件相关的错误 27 2.7.3 及时释放资源 27 2.8 序列化 28 2.8.1 不要序列化未加密的敏感数据 28 2.8.2 在序列化过程中避免内存和资源泄漏 29 3 其他参考资料 30
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值