php4.2,用PHP4.2书写安全的脚本_PHP

用PHP4.2书写安全的脚本_PHP

在很长一段时间内,PHP作为服务器端脚本语言的最大卖点之一就是会为从表单提交的值自动建立一个全局变量。在PHP 4.1中,PHP的制作者们推荐了一个访问提交数据的替代手段。在PHP 4.2中,他们取消了那种老的做法!正如我将在这篇文章中解释的那样,作出这样的变化的目的是出于安全性的考虑。我们将研究PHP在处理表单提交及其它数据时的新的做法,并说明为什么这样做会提高代码的安全性。

这里有什么错误?

看看下面的这段PHP脚本,它用来在输入的用户名及口令正确时授权访问一个Web页面:

// 检查用户名及口令

if ($username == 'kevin' and $password == 'secret')

$authorized = true;

?>

Please enter your username and password:

Username:

Password:

OK,我相信大约半数的读者会不屑的说“太愚蠢了-- 我不会犯这样的错误的!”但是我保证有很多的读者会想“嗨,没什么问题啊,我也会这么写的!”当然还会有少数人会对这个问题感到困惑(“什么是PHP?”)。PHP被设计为一个“好的而且容易的”脚本语言,初学者可以在很短的时间内学会使用它;它也应该能够避免初学者犯上面的错误。

再回到刚才的问题,上面的代码中存在的问题是你可以很容易地获得访问的权力,而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量 -- 不论是来自动一个提交的表单、URL查询字符串还是一个cookie -- 这会将$authorized设置为1,这样一个未授权的用户也可以突破安全限制。

那么,怎么简单地解决这个问题呢?只要在程序的开头将$authorized默认设置为false。这个问题就不存在了!$authorized是一个完全在程序代码中创建的变量;但是为什么开发者得为每一个恶意的用户提交的变量担心呢?

PHP 4.2作了什么改变?

在PHP 4.2中,新安装的PHP中的register_globals选项默认为关闭,因此EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中外部变量来源的全部范围)不会被作为全局变量来创建。当然,这个选项还可以通过手工来开启,但是PHP的开发者推荐你将其关闭。要贯彻他们的意图,你需要使用其它的方法来获取这些值。

从PHP 4.1开始,EGPCS值就可以从一组指定的数组中获得:

$_ENV -- 包含系统环境变量

$_GET -- 包含查询字符串中的变量,以及提交方法为GET的表单中的变量

$_POST -- 包含提交方式为POST的表单中的变量

$_COOKIE -- 包含所有cookie变量

$_SERVER -- 包含服务器变量,例如HTTP_USER_AGENT

$_REQUEST -- 包含$_GET、$_POST和$_COOKIE的全部内容

$_SESSION -- 包含所有已注册的session变量

在PHP 4.1之前,当开发者关闭register_globals选项(这也被考虑为提高PHP性能的一种方法)后,必须使用诸如$HTTP_GET_VARS这样的令人讨厌的名字来获取这些变量。这些新的变量名不仅仅短,而且它们还有其他优点。

首先,让我们在PHP 4.2中(也就是说关闭register_globals 选项)重写上面提到的代码:

$username = $_REQUEST['username'];

$password = $_REQUEST['password'];

// 检查用户名和口令

if ($username == 'kevin' and $password == 'secret')

$authorized = true;

?>

Please enter your username and password:

Username:

Password:

正如你看到的,我所需要做的只是在代码的开始增加下面两行:

$username = $_REQUEST['username'];

$password = $_REQUEST['password'];

因为我们希望用户名和密码是由用户提交的,所以我们从$_REQUEST数组中获取这些值。使用这个数组使得用户可以自由选择传递方式:通过URL查询字符串(例如允许用户创建书签时自动输入他们的证书)、通过一个提交的表单或者是通过一个cookie。如果你想要限制只能通过表单提交证书(更精确地说,是通过HTTP POST请求),你可以使用$_POST数组:

$username = $_POST['username'];

$password = $_POST['password'];

除了“引入”这两个变量以外,程序代码没有任何改变。简单地关闭register_globals选项促使开发者更进一步了解哪些数据是来自外部的(不可信任的)资源。

请注意这里还有一个小问题:PHP中默认的error_reporting设置仍然是E_ALL & ~E_NOTICE,因此如果“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中获得这两个值并不会招致任何错误信息。如晨不你的PHP程序需要严格的错误检查,你还需要增加一些代码以首先检查这些变量。

但是这是不是意味着更多的输入?

是的,在象上面这样的简单程序中,使用PHP 4.2常常会增加输入量。但是,还是看看光明的一面吧 -- 你的程序终究是更安全了!

不过认真的说,PHP的设计者并没有完全忽视你的痛苦。在这些新数组中有一个特殊的其它所PHP变量都不具备的特征,它们是完全的全局变量。这对你有什么帮助呢?让我们先对我们的示例进行一下扩充。

为了使得站点中的多个页面可以使用用户名/口令论证,我们将我们用户认证程序写到一个include文件(protectme.php)中:

function authorize_user($authuser, $authpass)

{

$username = $_POST['username'];

$password = $_POST['password'];

// 检查用户名和口令

if ($username != $authuser or $password != $authpass):

?>

Please enter your username and password:

Username:

Password:

exit();

endif;

}

?>

现在,我们刚才的页面看上去将是这样的:

require('protectme.php');

authorize_user('kevin','secret');

?>

很简单,很清晰明了,对不对?现在是考验你的眼力和经验的时候了 -- 在authorize_user 函数中少了什么?

在函数中没有申明$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需要增加一行代码以在函数中获取$username和$password变量:

function authorize_user($authuser, $authpass)

{

global $username, $password;

...

在PHP中,和其它具有类似语法的语言不同,函数外的变量在函数中不能自动获得,你需要象上面所说明的那样增加一行以指定其来自global范围。

在PHP 4.0中,当关闭register_globals以提供安全性时,你可以使用$HTTP_POST_VARS数组以获得你的表单提交的值,但是你还是需要从全局范围导入这个数组:

function authorize_user($authuser, $authpass)

{

global $HTTP_POST_VARS;

$username = $HTTP_POST_VARS['username'];

$password = $HTTP_POST_VARS['password'];

但是在PHP 4.1及以后的版本中,特殊的$_POST变量(以及上面提到的其它变量)可以在所有范围内使用。这就是不需要在函数中申明$_POST变量是一个全局变量的原因:

function authorize_user($authuser, $authpass)

{

$username = $_POST['username'];

$password = $_POST['password'];

这对session有什么影响?

特殊的$_SESSION数组的引入实际上有助于简化session代码。你不需要将session变量申明为全局变量,然后再去留意哪些变量被注册了,你现在可以简单地从$_SESSION['varname']中引用你所有的session变量。

现在让我们来看看另一个用户认证的例子。这一次,我们使用sessions以标志一个在你的网站继续逗留的用户已经经过了用户认证。首先,我们来看看PHP 4.0版本(开启register_globals):

session_start();

if ($username == 'kevin' and $password == 'secret')

{

$authorized = true;

session_register('authorized');

}

?>

和刚开始的程序一样,这个程序也存在安全漏洞,在URL的最后加上?authorized=1可以绕过安全措施直接访问页面内容。开发者可以将$authorized视为一个session变量而忽视了可以很容易地通过用户输入设置同样的变量。

当我们增加了我们的特殊的数组(PHP 4.1)并关闭register_globals(PHP 4.2)后,我们的程序将是这样的:

session_start();

if ($username == 'kevin' and $password == 'secret')

$_SESSION['authorized'] = true;

?>

是不是更加简单了?你不再需要再将普通的变量注册为一个session变量,你只需要直接设置session变量(在$_SESSION数组中),然后用同样的方法使用它。程序变得更短了,而且对于什么变量是session变量也不会引起混乱!

总结

在这篇文章中,我解释了PHP脚本语言作出改变的深层原因。在PHP 4.1中,添加了一组特殊数据以访问外部数据。这些数组可以在任何范围内调用,这使得外部数据的访问更方便。在PHP 4.2中,register_globals被默认关闭以鼓励使用这些数组以避免无经验的开发者编写出不安全的PHP代码。

本条技术文章来源于互联网,如果无意侵犯您的权益请点击此处反馈版权投诉

本文系统来源:php中文网

光盘使用说明 光盘内容框架 本书附带光盘内容包括本书源程序、部分模块视频教学录像、《编程词典》试用版,完整光盘内容框架如图1.1所示。 图1.1 光盘内容框架图 如何使用本书源程序 1、开发及运行环境 本书源程序都是在Windows Server 2003下开发的,程序测试环境为Windows Server 2003。用户只有在Windows Server 2003下正确配置程序所需的运行环境后,才可以使用本书中的源程序。软件开发平台如下: 操作系统:Windows Server 2003或Linux; Apache服务器:apache_2.2.8-win32-x86-no_ssl.msi; PHP软件:php-5.2.5-Win32.zip; MySQL图形化管理软件:phpMyAdmin-2.11.5.zip; 数 据 库:SQL Server 2000、MySQL(mysql-noinstall-5.1.11-beta-win32.zip); 浏 览 器:IE5.0及以上版本,推荐使用IE6.0; 分 辨 率:最佳效果1024×768像素; 2、源程序使用方法 (1)使用本书中源程序时,请将源程序文件夹下的所有文件拷贝到计算机硬盘上,并去掉所有文件的只读属性。 (2)在系统上安装PHP、MySQL、Apache、phpmyadmin或直接安装AppServ。 (3)数据库文件存储于源程序下的data文件夹中。 《编程词典》介绍及使用 本书另赠送“编程词典体验版”,可以帮助开发人员高效地在技术文档和源代码中搜索所需技术,同时配套提供了主要开发技术的视频教学录像和界面设计方案等,帮助程序开发人员设计程序。是程序开发人员的必备工具软件。 《编程词典》系列软件是由明日科技公司组织数十位资深编程技术人员,为广大程序设计人员开发的易查、易学、易用的高效编程工具软件。词典分为《PHP编程词典》、《Visual Basic编程词典》、《Delphi编程词典》、《Visual C++编程词典》、《ASP编程词典》、《C#编程词典》、《ASP.NET编程词典》、《SQL Server编程词典》和《JAVA编程词典》等九个系列。各词典中都包括以下内容。  详尽、完整的技术开发手册,内容超过8000页的专业技术文档。  我公司多年开发的近30个项目的专业开发文档及全部源程序。  数千个典型模块、实例和技巧的文档及源程序。赠送数年积累的开发锦囊和实用工具。  50个专业技术方案,透彻分析开发精髓。  30个小时的开发录像,12个小时开发技术录像和18个小时的项目开发全程录像。  数位专业美工多年设计的20套界面设计方案,100个开发素材。  详细的图书资源目录查询及我公司出版的专业图书的阅读与查询。  智能、人性化的技术查询定位。  附带SQL词典、工程词典、英语、UML等工具词典。  全面的个人资源管理。 其中,《PHP编程词典》体验版,是随本书图书光盘赠送的一款含有技术中心、查询中心两大版块功能的体验版系列软件,可以快速查询PHP的一些技术。 使用编程词典前应首先将其安装到硬盘上,打开光盘(直接通过光盘打开或者通过全程视频教学程序中的“编程词典软件”按钮调用打开),具体安装步骤如下。 (1)双击“编程词典体验版.exe”文件,进入安装页面,如图1.3所示。 图1.3 安装页面 (2)单击“下一步”按钮,选择“我同意该许可协议的条款”单选按钮,如图1.4所示的页面。 图1.4 许可协议页面 (3)单击“下一步”按钮,进入用户信息页面,输入公司名称,如图1.5所示。 图1.5 用户信息页面 (4)单击“下一步”按钮,进入选择安装路径页面,如图1.6所示。 图1.6 选择安装路径页面 (5)单击“下一步”按钮,进入创建快捷方式页面,如图1.7所示。 图1.7 创建快捷方式页面 (6)单击“下一步”按钮,进入准备安装页面,如图1.8所示。 图1.8 准备安装页面 (7)单击“下一步”按钮,开始安装。安装完成后,弹出如图1.9所示的安装成功页面,单击“完成”按钮,完成安装操作。 图1.9 安装成功页面
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值