这篇文章是作为补充Yii框架开发安全考虑,因为Yii教程里几经含有了开发过程中需要考虑的安全教程。 但是基于那个教程里没有提到所有常见的web攻击,所以在这里补充两个最常见的web攻击: SQL注入式和Magic URL.
SQL注入式
SQL注入式是一种最常见并且最容易实现的一个web应用的攻击,这个攻击已经在最近的几年内上升为第一个web开发的安全问题。这种攻击发生于当你(开发者)获取用户的输入值,并直接把它作为纯Sql语句对数据库进行查询而造成的。这种攻击可以篡改,删除数据,甚至可以公开一个商业的用户资料。
举一个简单例子,假设你有这样的一个SQL语句:
"Select * from User where username=".$username;
其中$username是你从用户端获取的值。如果用户是个有经验的开发者,他很容易就可以猜到你的sql语句大概是什么样。那么他可以提供这样的值,比如: ” ‘john’ or 1=1″, 如果你直接把这个值放入到sql语句中,那么语句就变成了:
"Select * from User where username='john' or 1=1";
可以看到,你如果懂的一些Sql,这个语句将会在你数据库表格获取所有的用户数据, 那么这些数据就有被公开的危险性, 这是个简单的例子,但是很好了说明了这个攻击是怎么发生的。
那么什么防范措施可以起到保护数据作用呢?这里给几个建议:1. 检查,过滤任何从用户端接收到的数据,不用相信任何用户的数据。2. 避免直接在控制层写 Sql语句,如果你一定要,请实行第一步操作。3. 尽量把sql语句写在模型层,并尽量使用内嵌的API如 find(),findAll()等待。4. 使用Criteria 来创建数据查询代码,这种方式创建的sql语句将会自动消除注入式sql语句,起到防范作用。
Magic URL
另一个攻击你需要注意的是Magic URL.这个攻击发生于,在开发者把Url的参数作为调用其他函数的参数并直接执行它。
特别注意的是Yii框架的架构已经具有被攻击的潜在可能。如果没有合适的用户验证措施和其他对策,攻击者可能能够删除你在数据库中的所有数据。
让我们看看一个具体的例,假设你有一个ImageController其中包含常用的方法:
Class ImageController extends Controller{
public function accessRules(){
...
array('allow', 'actions'=>array('delete'),'users'=>array('*'),
...
}
public function actionCreate(){
....
}
...
public function actionDelete($id){
$this->loadModel($id)->delete();
}
}
你可以从上面的代码看到,这种控制类允许身份验证的用户来执行删除操作。因此,一个情景可以是用户点击一个图片下的“删除”按钮,然后将图像记录从数据库表中删除。但是,就这么简单吗?如果您有一些关于HTTP URL的知识,那么你知道这个删除操作的URL可能是:
http://yourdomain.com/image/delete?id=3
或其他相似的。现在也许变得清晰,如果你的数据库设计只是简单的增加了数字来改变图片记录的ID,那么可能会发生攻击是通过简单地改变URL中的ID值来删除由另一个用户拥有的图片记录,因此这是一个不安全的代码设计。
防范措施:
- 通过检查用户的角色授权操作,考虑使用基于角色的访问控制(RBAC)。
- 避免使用GET方法,如果一个HttP请求的结果在服务器端有改变模型状态的作用,请使用POST并通过这个: Yii::app()->request->isPostRequest 来检查一个请求是否是AJAX.
- 检查,过滤任何从用户端接收到的数据,不用相信任何用户的数据。
- 提高访问规则的门槛,给用户留下最少特权。