Yii框架开发安全考虑

这篇文章是作为补充Yii框架开发安全考虑,因为Yii教程里几经含有了开发过程中需要考虑的安全教程。 但是基于那个教程里没有提到所有常见的web攻击,所以在这里补充两个最常见的web攻击: SQL注入式和Magic URL.

SQL注入式

SQL注入式是一种最常见并且最容易实现的一个web应用的攻击,这个攻击已经在最近的几年内上升为第一个web开发的安全问题。这种攻击发生于当你(开发者)获取用户的输入值,并直接把它作为纯Sql语句对数据库进行查询而造成的。这种攻击可以篡改,删除数据,甚至可以公开一个商业的用户资料。

举一个简单例子,假设你有这样的一个SQL语句:

"Select * from User where username=".$username;

其中$username是你从用户端获取的值。如果用户是个有经验的开发者,他很容易就可以猜到你的sql语句大概是什么样。那么他可以提供这样的值,比如: ” ‘john’ or 1=1″, 如果你直接把这个值放入到sql语句中,那么语句就变成了:

"Select * from User where username='john' or 1=1";

可以看到,你如果懂的一些Sql,这个语句将会在你数据库表格获取所有的用户数据, 那么这些数据就有被公开的危险性, 这是个简单的例子,但是很好了说明了这个攻击是怎么发生的。

那么什么防范措施可以起到保护数据作用呢?这里给几个建议:1. 检查,过滤任何从用户端接收到的数据,不用相信任何用户的数据。2. 避免直接在控制层写 Sql语句,如果你一定要,请实行第一步操作。3. 尽量把sql语句写在模型层,并尽量使用内嵌的API如 find(),findAll()等待。4. 使用Criteria 来创建数据查询代码,这种方式创建的sql语句将会自动消除注入式sql语句,起到防范作用。

Magic URL

另一个攻击你需要注意的是Magic URL.这个攻击发生于,在开发者把Url的参数作为调用其他函数的参数并直接执行它。

特别注意的是Yii框架的架构已经具有被攻击的潜在可能。如果没有合适的用户验证措施和其他对策,攻击者可能能够删除你在数据库中的所有数据。

让我们看看一个具体的例,假设你有一个ImageController其中包含常用的方法:

Class ImageController extends Controller{
    public function accessRules(){
         ...
         array('allow', 'actions'=>array('delete'),'users'=>array('*'),
         ...
    }
    public function actionCreate(){
         ....
    }
    ...
    public function actionDelete($id){
         $this->loadModel($id)->delete();
    }
}

你可以从上面的代码看到,这种控制类允许身份验证的用户来执行删除操作。因此,一个情景可以是用户点击一个图片下的“删除”按钮,然后将图像记录从数据库表中删除。但是,就这么简单吗?如果您有一些关于HTTP URL的知识,那么你知道这个删除操作的URL可能是:

http://yourdomain.com/image/delete?id=3

或其他相似的。现在也许变得清晰,如果你的数据库设计只是简单的增加了数字来改变图片记录的ID,那么可能会发生攻击是通过简单地改变URL中的ID值来删除由另一个用户拥有的图片记录,因此这是一个不安全的代码设计。

防范措施:

  1. 通过检查用户的角色授权操作,考虑使用基于角色的访问控制(RBAC)。
  2. 避免使用GET方法,如果一个HttP请求的结果在服务器端有改变模型状态的作用,请使用POST并通过这个: Yii::app()->request->isPostRequest 来检查一个请求是否是AJAX.
  3. 检查,过滤任何从用户端接收到的数据,不用相信任何用户的数据。
  4. 提高访问规则的门槛,给用户留下最少特权。
转载自http://www.yiiwiki.com/wiki/view/id/15/title/Yii%E6%A1%86%E6%9E%B6%E5%BC%80%E5%8F%91%E5%AE%89%E5%85%A8%E8%80%83%E8%99%91
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值