编写安全 PHP 应用程序的七个习惯

最新推荐文章于 2008-12-18 15:13:00 发布
最新推荐文章于 2008-12-18 15:13:00 发布
阅读量462 收藏
点赞数
分类专栏: Open Source 文章标签: php scripting header 数据库 正则表达式 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ibmjournal/article/details/3370085
版权
PHP 应用程序中的安全性包括远程安全性和本地安全性。本文将揭示 PHP 开发人员在实现具有这两种安全性的 Web 应用程序时应该养成的习惯。

在提及安全性问题时,需要注意,除了实际的平台和操作系统安全性问题之外,您还需要确保编写安全的应用程序。在编写 PHP 应用程序时,请应用下面的七个习惯以确保应用程序具有最好的安全性:

  • 验证输入
  • 保护文件系统
  • 保护数据库
  • 保护会话数据
  • 保护跨站点脚本(Cross-site scripting,XSS)漏洞
  • 检验表单 post
  • 针对跨站点请求伪造(Cross-Site Request Forgeries,CSRF)进行保护

验证输入

在提及安全性问题时,验证数据是您可能采用的最重要的习惯。而在提及输入时,十分简单:不要相信用户。您的用户可能十分优秀,并且大多数用户可能完全按照期望来使用应用程序。但是,只要提供了输入的机会,也就极有可能存在非常糟糕的输入。作为一名应用程序开发人员,您必须阻止应用程序接受错误的输入。仔细考虑用户输入的位置及正确值将使您可以构建一个健壮、安全的应用程序。

虽然后文将介绍文件系统与数据库交互,但是下面列出了适用于各种验证的一般验证提示:

  • 使用白名单中的值
  • 始终重新验证有限的选项
  • 使用内置转义函数
  • 验证正确的数据类型(如数字)

白名单中的值(White-listed value)是正确的值,与无效的黑名单值(Black-listed value)相对。两者之间的区别是,通常在进行验证时,可能值的列表或范围小于无效值的列表或范围,其中许多值可能是未知值或意外值。

在进行验证时,记住设计并验证应用程序允许使用的值通常比防止所有未知值更容易。例如,要把字段值限定为所有数字,需要编写一个确保输入全都是数字的例程。不要编写用于搜索非数字值并在找到非数字值时标记为无效的例程。

保护文件系统

2000 年 7 月,一个 Web 站点泄露了保存在 Web 服务器的文件中的客户数据。该 Web 站点的一个访问者使用 URL 查看了包含数据的文件。虽然文件被放错了位置,但是这个例子强调了针对攻击者保护文件系统的重要性。

如果 PHP 应用程序对文件进行了任意处理并且含有用户可以输入的变量数据,请仔细检查用户输入以确保用户无法对文件系统执行任何不恰当的操作。清单 1 显示了下载具有指定名的图像的 PHP 站点示例。


清单 1. 下载文件 
				
<?php
if ($_POST['submit'] == 'Download') {
    $file = $_POST['fileName'];
    header("Content-Type: application/x-octet-stream");
    header("Content-Transfer-Encoding: binary");
    header("Content-Disposition: attachment; filename=/"" . $file . "/";" );
    $fh = fopen($file, 'r');
    while (! feof($fh))
    {
        echo(fread($fh, 1024));
    }
    fclose($fh);
} else {
    echo("<html><head><");
        echo("title>Guard your filesystem</title></head>");
    echo("<body><form id=/"myFrom/" action=/"" . $_SERVER['PHP_SELF'] .
        "/" method=/"post/">");
    echo("<div><input type=/"text/" name=/"fileName/" value=/"");
    echo(isset($_REQUEST['fileName']) ? $_REQUEST['fileName'] : '');
    echo("/" />");
    echo("<input type=/"submit/" value=/"Download/" name=/"submit/" /></div>");
    echo("</form></body></html>");
}

正如您所见,清单 1 中比较危险的脚本将处理 Web 服务器拥有读取权限的所有文件,包括会话目录中的文件(请参阅 “保护会话数据”),甚至还包括一些系统文件(例如 /etc/passwd)。为了进行演示,这个示例使用了一个可供用户键入文件名的文本框,但是可以在查询字符串中轻松地提供文件名。

同时配置用户输入和文件系统访问权十分危险,因此最好把应用程序设计为使用数据库和隐藏生成的文件名来避免同时配置。但是,这样做并不总是有效。清单 2 提供了验证文件名的示例例程。它将使用正则表达式以确保文件名中仅使用有效字符,并且特别检查圆点字符:..


清单 2. 检查有效的文件名字符
 


本文转自IBM Developerworks中国

      请点击此处查看全文


ibmjournal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编写安全 PHP应用程序七个习惯深入分析
10-27
本篇文章是对编写安全-PHP应用程序七个习惯进行了详细的分析介绍,需要的朋友参考下
PHP 编程的 5个良好习惯
12-18
 这些良好的编程习惯不仅能提高效率,还能让您编写出在应用程序的整个生命周期中易于维护的代码。编写出来的代码可能需要大量的维护;应用程序的维护是一笔很大的开支。养成良好的编程习惯能够提高设计质量(比如...
PHP大神的十大优良习惯
12-19
1、多阅读手册和源代码 ...下载一份开源的PHP应用程序的源代码,仔细阅读它吧。也许越大的项目越值得去阅读,虽然它们也许有更复杂的结构和系统,但也有更详细的解释文档。 2、编写模块化代码 良好的PHP
warthog:用于为 Warthog HOTAS 创建图表的简单 Web 应用程序
07-02
我在几天内完成了上面的应用程序,它最初只是一个供我自己使用的工具,但它似乎很有用,所以我更进一步使它可供其他人使用。 有几个人要求提供源代码,所以在这里。 我使用 PHP 框架 CodeIgniter 构建了它。 回想...
架构师学习宝典:PHP 读物列表
IBM技术期刊
11-07 2189
PHP 是一种解释型编程语言,运行在开放源码内核引擎和扩展提供的环境中,它的开发受到许多公司和个人的青睐与推动。下面我们就提供给大家一份 IBM 的 Web 应用程序开发人员编写PHP 读物列表,选择这些资源的目的是向 IT 专家和架构师介绍 PHP,提供关于安装和维护的具体信息。内容 概述 入门 开发环境 部署
理解 Zend 框架 基础篇
IBM技术期刊
11-07 2134
程序员是自相矛盾的懒汉。我们的理想是花数小时甚至几天的时间来创建一个东西,让大家用 30 秒钟完成 5 分钟才能完成的任务。众所周知,几年前,在众多强大且易用的脚本语言中,PHP 占据着首要位置。如果您曾经想使用动态生成的内容来构建一个网站,但却并不确定是否要使用诸如 J2EE 之类的应用服务器,那么您就极可能使用 PHP。它快速、易学、方便,并且无需学习 Perl。然后情况很快改变。Ruby o
借助 Picasa Web Albums 开发 PHP 应用程序
IBM技术期刊
12-18 2012
Picasa Web Albums 为 Web 应用程序开发人员提供了一种基于 REST 的 Data API,可用于处理存储于服务器上的照片和相册。PHP 的 SimpleXML 扩展和 Zend 的 GData Library 则非常适合于处理由此 API 生成的 XML 提要,借助于此,您就能够定制照片管理和共享的 PHP 应用程序。通过本文,了解这个 Picasa Web Albu
SWT 图像处理入门
IBM技术期刊
12-18 1896
Standard Widget Toolkit ( SWT ,标准窗口小部件工具箱),是在 Eclipse 平台上使用的窗口小部件工具箱,它能向开发者提供和本机平台一致的用户界面和比较稳定的性能,也提供了强大的图像处理功能。本文首先介绍 SWT 封装的 Image , ImageData 等类,接着根据作者实际工作经验给出了一些常见图像处理的解决方法。SWT 图像处理入门Stand
在 Linux 上使用 Google Maps API Version 2、DB2/Informix、PHP 和 JMeter 创建地图
IBM技术期刊
12-18 1803
Google 新的 Maps API Version 2 支持创建更高级的 mashup 应用程序。在本文中,将以本系列 第 1 部分 中讲解的基本 mashup 开发为基础,学习更高级的开发方法,并了解如何使用 DB2® REC2XML 函数减少 PHP:Hypertext Preprocessor(PHP)脚本中的代码行。学习如何用 DB2 或 Informix® Dynamic Se
Eclipse 插件功能详解大全
IBM技术期刊
09-26 1747
在整个 Java™ 开发人员社区,Eclipse 因为行业领先的 Java Development Tools (JDT) 而广为人知。越来越多的 Java 开发人员已经开始欣赏 Eclipse 的 JDT 提供的生产率和质量收益。Eclipse在促进插件的使用的方面获得了惊人的成功,他对Java的支持是近乎完美的。 Eclipse的 Java 编辑器除了提供语法高亮显示、格式化、折叠、内容辅助
【精】WebSphere Application Server Community Edition V2.1 中的新增功能及使用下载
IBM技术期刊
10-07 1655
探索 WebSphere® Application Server Community Edition V2.1 中的新增功能,包括使用 Gshell 执行 Geronimo 命令、在您自己的服务器集基础上创建多个服务器组装,以及通过专家模式和新的 Monitoring Portlet 完全控制服务器的能力。此版本是对已经是功能最强大的可用开放源代码应用程序服务器的改进。引言
使用 Flex SDK 实现一个 Facebook 相册
IBM技术期刊
12-18 1635
Adobe® 发布了免费的开源 Flex SDK 框架,支持开发人员创建富 Internet 应用程序(Rich Internet Applications,RIA)。Flex 框架使您能够方便、快速地创建跨浏览器、跨平台的 Web 应用程序。Flex 应用程序在 Flash 播放器中运行。大多数连接 Internet 的计算机都安装有 Flash 播放器,但是 Flex 还为您提供类似
OSGi 和 Spring,第 1 部分: 使用 Apache Felix 构建和部署 OSGi 包
IBM技术期刊
12-18 1603
开发、构建并将 Java™ 类组件打包为开放服务网关协议(Open Services Gateway Initiative,OSGi)包,将其部署在 Apache Felix 运行时环境中。然后,使用 Felix Shell 命令启动和停止包及对其进行动态更新。引言本文是本系列的第 1 部分,我们将开发包含客户端和服务器端组件的订单应用程序。然后将这些组件打包为 OSGi 包。
PyDev for Eclipse 简介
IBM技术期刊
12-08 1602
PyDev for Eclipse 是一个功能强大且易用的 Eclipse Python IDE 插件。本文将向读者介绍 PyDev 开源项目及其安装配置方法,并在此基础上详细介绍如何利用 PyDev 插件把 Eclipse 变为功能强大且易用的 Python IDE,如何利用其进行 Python 程序的开发和调试。通过本文,读者不仅可以了解 PyDev 这个开源项目,更能深入了解如何应用
由浅入深带你使用Dojo工具包
IBM技术期刊
10-07 1599
随着富互联网应用程序(Rich Internet Application,RIA)的发展,一批 JavaScript Toolkit 也随之兴起 , Dojo 便是其中的优秀代表,本系列文章将由浅入深带领读者走进 Dojo 的世界。本文作为这个系列的开篇 , 主要讲述了 Dojo 的体系架构以及如何安装使用。伴随 Web 2.0, Ajax 和 RIA 的热潮,各种 Ajax 开发工具
架构师常用的五种 PHP 设计模式
IBM技术期刊
11-01 1557
什么是设计模式呢?顾名思义就是在软件设计过程中发现了某些具有固定设计的模式,就像建筑师设计房子和建筑物一样,可以为浴室的位置或厨房的构造方式开发模板。使用这些模板或者说设计模式意味着可以更快地设计更好的建筑物。而我们也就是可以更快的设计更好的软件。设计模式不仅代表着更快开发健壮软件的有用方法,而且还提供了以友好的术语封装大型理念的方法。所以说设计模式对于每个人都非常有用。我们总结了用PHP做软件设
用 sqlRest 将数据库转换为 REST 风格的 Web 服务
IBM技术期刊
12-09 1481
本文介绍 sqlRest 框架,它是一种高效的轻量级数据库 REST 服务解决方案,您可以通过简单的配置直接将数据库中的数据暴露成 REST 风格的 Web 服务,并将数据库的 CRUD 操作和 REST 服务的 GET, DELETE, POST, PUT 接口对应起来。随着 Web 2.0 的 发展,REST(Representational State Transfer)风格的
构建具有最大灵活性的 Web 应用程序的 Python 标准入门
IBM技术期刊
09-25 1411
Web 成功的主要原因是它的灵活性。您会发现在设计、开发和部署 Web 站点和应用程序方面,每个开发人员几乎都有自己的特色。尽管有大量的选择,但是一个 Web 开发人员经常选择惟一的 Web 设计工具、页面风格、内容语言、Web 服务器、中间件和 DBMS 技术的组合,使用不同的实现语言和辅助工具包。为了给所有这些元素一起工作提供最大的灵活性,应该尽可能地通过组件提供 Web 的功能。这些组件应该
使用 Eclipse 和 PDT 调试 PHP
IBM技术期刊
07-20 1314
 将 PHP 开发工具(PHP Development Tools,PDT)插件安装到 Eclipse Europa 后,您将能够快速编写和调试 PHP 脚本和页面。PDT 支持两种调试工具:XDebug 和 Zend Debugger。通过本文了解如何配置 PDT 来调试 PHP 脚本,并了解在详细查看脚本时应使用哪些透视图。在本教程中本教程将演示如何为 Eclipse 配置 P
如何用QT快速编写一个应用程序
最新发布
05-11
QT 是一个跨平台应用程序开发框架,可以用 C++ 编写。以下是用 QT 快速编写一个应用程序的基本步骤: 1. 下载并安装 QT:在 QT 官网上下载并安装 QT 开发环境。 2. 创建一个新项目:打开 QT Creator,选择“File”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值