Php代码安全主题分享

安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是：“知道有这么一回事，编程时自然有所注意”。

1、php一些安全配置

(1)关闭php提示错误功能

在php.ini 中把display_errors改成

display_errors = OFF

或在php文件前加入

ps：抑制不了mysql错误。

(2)关闭一些“坏功能”

1)关闭magic quotes功能

在php.ini 把magic_quotes_gpc = OFF

避免和addslashes等重复转义

2)关闭register_globals = Off

在php.ini 把register_globals = OFF

在register_globals = ON的情况下

地址栏目：http://www.jb51.net?bloger=benwin

这种情况下会导致一些未初始化的变量很容易被修改，这也许是致命的。所以把register_globals = OFF关掉

(3)严格配置文件权限。

为相应文件夹分配权限，比如包含上传图片的文件不能有执行权限，只能读取

2.1为了确保程序的安全性，健壮性，数据验证应该包括内容。

(1)     关键数据是否存在。如删除数据id是否存在

(2)     数据类型是否正确。如删除数据id是否是整数

(3)     数据长度。如字段是char(10)类型则要strlen判断数据长度

(4)     数据是否有危险字符

数据验证有些人主张是把功能完成后再慢慢去写安全验证，也有些是边开发边写验证。等开发完功能再写时有两个问题，一个急于完成指标草草完事，二是确实漏掉某些。

2.2程序员容易漏掉或者说需要注意的事项

(1)     进库数据一定要安全验证，

安全无暇的代码

$myUsername = ‘tmyer’;

$arrayUsers =array(’tmyer’, ‘tom’, ‘tommy’);

define(”GREETING”, ‘hello there’ .$myUsername);

但是，下面的数据元素都是有瑕疵的。

 不安全、有瑕疵的代码

$myUsername =$_POST['username'];//tainted!

$arrayUsers =array($myUsername, ‘tom’, ‘tommy’);//tainted!

define(”GREETING”, ‘hello there’ .$myUsername);//tainted!

(2)     数据长度问题，如数据库建表字段char(25)，大多phper考虑到是否为空、数据类型是否正确，却忽略字符长度，忽略还好更多是懒于再去判断长度。

缓冲区溢出攻击

缓冲区溢出攻击 试图使 PHP 应用程序中（或者更精确地说，在 Apache 或底层操作系统中）的内存分配缓冲区发生溢出。请记住，您可能是使用 PHP 这样的高级语言来编写 Web 应用程序，但是最终还是要调用 C（在 Apache 的情况下）。与大多数低级语言一样，C 对于内存分配有严格的规则。

缓冲区溢出攻击向缓冲区发送大量数据，使部分数据溢出到相邻的内存缓冲区，从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。

防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。例如，如果有一个表单元素要求输入用户的名字，那么在这个域上添加值为 40 的 maxlength 属性，并在后端使用 substr() 进行检查

(3)     以为前端用js判断验证过了，后台不需要判断验证。这也是致命，要知道伪造一个表单就几分钟的事，js判断只是为了减少用户提交次数从而提高用户体验、减少http请求减少服务器压力，在安全情况下不能防“小人”，当然如果合法用户在js验证控制下是完美的，但作为phper我们不能只有js验证而抛弃再一次安全验证。

(4)     缺少对表单某些属性比如select、checkbox、radio、button等的验证，这些属性在web页面上开发者已经设置定其值和值域（白名单值），这些属性值在js验证方面一般不会验证，因为合法用户只有选择权没修改权，然后phper就在后端接受数据处理验证数据的时候不会验证这些数据，这是一个惯性思维，安全问题也就有了，小人一个伪表单。

(5)     表单相应元素name和数据表的字段名一致，如用户表用户名的字段是user_name，然后表单中的用户名输入框也是user_name，这和暴库没什么区别。

3、防注入

3.1简单判断是否有注入漏洞以及原理。

网址：http://www.jb51.net/benwin.php?id=1 运行正常，sql语句如：select  *  from phpben where id = 1

(1) 网址：http://www.jb51.net/benwin.php?id=1′   sql语句如：select  *  from phpben where id = 1′  然后运行异常 这能说明benwin.php文件没有对id的值进行“’” 过滤和intval()整形转换，当然想知道有没有对其他字符如“%”，“/*”等都可以用类似的方法穷举测试（很多测试软件使用）

(2)网址：http://www.jb51.net/benwin.php?id=1 and 1=1  则sql语句可能是 select  *  from phpben where id = 1 and 1=1，运行正常且结果和http://www.jb51.net/benwin.php?id=1结果一样，则说明benwin.php可能没有对空格“ ”、和“and”过滤（这里是可能，所以要看下一点）

(3)网址：http://www.jb51.net/benwin.php?id=1 and 1=2则sql语句可能是 select  *  from phpben where id = 1 and 1=2 如果运行结果异常说明sql语句中“and 1=2”起作用，所以能3个条件都满足都则很确定的benwin.php存在注入漏洞。

ps：这里用get方法验证，post也可以，只要把值按上面的输入，可以一一验证。

3.2常见的mysql注入语句

(1)不用用户名和密码

(2)在不输入密码的情况下，利用某用户

mysql中其中的一个注悉是“#”，上面语句中#已经把后面的内容给注悉掉，所以密码可以不输入或任意输入。还有“– ”也是可以注悉mysql 但要注意“–”后至少有一个空格也就是“– ”，当然防注入代码要把三种都考虑进来，值得一提的是很多防注入代码中没把“– ”考虑进防注入范围。

(3)猜解某用户密码

(4)插入数据时提权

(5)更新提权和插入提权同理

(6)恶意更新和删除

(7)union、join等

(8)通配符号%、_

只要有一个用户名字是b开头的都能正常运行,“ _b_”是匹配三个字符，且这三个字符中间一个字符时b。这也是为什么有关addslashes()函数介绍时提示注意没有转义%和_。所以很多在用户输入的地方都要过滤%和_

(9)还有很多猜测表信息的注入sql

33防注入的一些方法

2.3.1 php可用于防注入的一些函数和注意事项。

(1)addslashes 和stripslashes。

Addslashes给这些 “’”、“””、“\”,“NULL” 添加斜杆“\’”、“\””、“\\”,“\NULL”, stripslashes则相反，这里要注意的是php.ini是否开启了magic_quotes_gpc=ON，开启若使用addslashes会出现重复。所以使用的时候要先get_magic_quotes_gpc()检查

一般代码类似：

(2)mysql_escape_string()和mysql_ real _escape_string()

mysql_escape_string()和mysql_ real _escape_string()却别在于后者会判断当前数据库连接字符集   没有连接数据库的前提下会出现类似错误

(3)字符代替函数和匹配函数

str_replace() 、perg_replace()这些函数之所以也在这里提是因为这些函数可以用于过滤或替代一些敏感、致命的字符。

2.3.2防注入字符优先级。

防注入则要先知道有哪些注入字符或关键字，常见的mysql注入字符有字符界定符号如“’”、“””；逻辑关键字如“and”、“or”；mysql注悉字符如“#”，“– ”，“/**/”；mysql通配符“%”，“_”；mysql关键字“select|insert|update|delete|*|union|join|into|load_file|outfile”

如一些银行卡号，身份证号，邮箱，电话号码，，生日，邮政编码等这些有自己规定的格式且格式规定不能有空格符号的参数，在过滤的时候一般最先过滤掉空格（包括一些空格“变种”），因为其他字符界定符号，逻辑关键字，mysql注悉

ps：空格字符的变种有：“%20”，“\n”，“\r”，“\r\n”，“\n\r”，“chr(“32″)” 这也是为什么mysql_escape_string()和mysql_real_escape_string() 两个函数转义“\n”，“\r”。在mysql解析\n,\r时把它们当成空格处理

2.3.3防注入代码

(1)参数是数字直接用intval()函数

用addslashes()、mysql_escape_string()、mysql_real_escape_string()或三者任意组合过滤，但phper以为过滤了，一不小心一样有漏洞，那就是在参数为数字的时候：

post过来的数据通过addslashes过滤后的确很多注入已经不起作用，但是$id并没有intval，导致漏洞的存在，这是个小细节，不小心则导致漏洞。

(2)对于非文本参数的过滤，可一封装方法，过滤

$str=str_replace(” “,””,$str);

$str=str_replace(“\n”,””,$str);

具体过滤哪些，可以自己权衡

4、防止xss攻击

4.1Xss攻击过程

(1)发现A站有xss漏洞。

(2)注入xss漏洞代码。可以js代码，木马，脚本文件等等，这里假如A站的benwin.php这个文件有漏洞。

(3)通过一些方法欺骗A站相关人员运行benwin.php，其中利用相关人员一些会员信息如cookies，权限等。

相关人员：

管理员（如贴吧版主），管理员一般有一定权限。目的是借用管理员的权限或进行提权，添或加管理员，或添加后门，或上传木马，或进一步渗透等相关操作。

A站会员：会员运行A站的benwin.php。目的一般是偷取会员在A站的信息资料。

方法：

1)       在A站发诱骗相关人到benwin.php的信息，比如网址，这种是本地诱骗

2)       在其他网站发诱骗信息或者发邮件等等信息。

一般通过伪装网址骗取A站相关人员点击进benwin.php

(4)第三步一般已经是一次xss攻击，如果要更进一步攻击，那不断重复执行(2)、(3)步以达到目的。

简单xss攻击 当用户名$user_name的值是“benwin” onSubmit=”alert(‘这是xss攻击的例子’);” class= “”（这里）

当提交表单的时候就会弹出提示框。

(1)     很明显$user_name在保存进数据库的时候没有过滤xss字符（和防注入很像，这里举例说明）==>发现漏洞

(2)     构造xss代码：benwin” onSubmit=”alert(‘这是xss攻击的例子’);” class= “” 传入数据库

(3)     骗相关人员进来点击“提交”按钮

4.2常见xss攻击地方

Js地方 form表单里面 a标签 一些文本中插入整个img标签并且用width、 height、css等隐藏的很隐蔽

4.3防XSS方法

    防xss方法其实和防注入很相似，都是一些过滤、代替、实体化等方法

(1)过滤或移除特殊的Html标签。

例如:< 、>、<,、> ‘、”、、 、、”

(2)过滤触发JavaScript 事件的标签。例如 onload、onclick、onfocus、onblur、onmouseover等等。

(3)php一些相关函数，strip_tags()、htmlspecialchars()、htmlentities()等函数可以起作用

5、CSRF

5.1简单说明CSRF原理

(1)A登录Site1（如现在网民常上的淘宝、微博、QQ等），产生一些信息，session、cookies等等，且一直保持没退出。

(2)A再登录Site2（如一些成人网等，至于怎么跑到Site2，多数是Site通过些手段，邮件欺骗等），打开site2的浏览器和打开site1的一样，否则无效

(3)Site2站中伪造了Site1的http请求（如修改密码，买东西，转账等），Site1的服务器误以为A在site1的正常操作（因为同浏览器且A还没登出），然后就运行了请求，那么csrf已成功操作。

csrf和xss很相似。xss也能伪造请求，csrf也能制造脚本。

伪造的请求可以很多方面，发邮件、改密码、返回用户信息、交易等等，所以相对与xss攻击来说csrf危害更严重。

5.2防范方法

(1)严密操控执行入口

执行一些敏感操作比如改密码这些操作前判断请求来源，只有本站服务器发的请求才可以执行。判断方法可以判断ip来源。非本站服务器ip不会执行。

(2)本站有外链的话做些必要操作

一般site2的hacker会在site1（比如论坛里）里发欺骗连接，因为在site1诱骗的相关人员一般都登录site1了，满足csrf气体条件之一。

如当你点击QQ邮件里面的长外链时候，回跳转到一个页面提示“有风险”之类，这样不仅可以减低跳出率，一些不懂的人看到这样的提示，若不是非必要而是处于好奇点击的连接一般不会继续点击访问；还有是QQ邮件正文里的图片在加载内容时是不加载图片的，要点击“显示图片”按钮才显示图片，这里一个原因之一就是避免攻击。

当然对于用户体验来说这是不可取的，可以优化的是判断到一些网址（如QQ本身网址）是安全直接可以显示（不用提示），而可疑的才提示或禁止。

(3)防止csrf也可以用防xss的方法。

6、防盗链

盗链问题增加服务器的负担。盗链就是盗链网站盗取被盗链网站资源来实现一些功能。盗链方面主要是图片、视频、以及其他资源下载文件。

方法：判断ip，只有本站服务器才能使用站点资源，否则不能使用。

在Apache htaccess添加，凡是不是phpben.com google.com baidu.com zhuaxia.com 域名请求的都返回replace.gif代替返回

7、防拒CC攻击

CC攻击：是利用不断对网站发送连接请求致使形成拒绝服务的目的。

    在用PHP进行浮点数的运算中,经常会出现一些和预期结果不一样的值，这是由于浮点数的精度有限。尽管取决于系统，PHP 通常使用 IEEE 754 双精度格式。非基本数学运算可能会给出更大误差，并且要考虑到进行复合运算时的误差传递。

2017年的一个write-up题目 直接赋值，year=2017的结果，

结果是什么呢？是不是对2017进行各种代码绕过就可以了

结果是否定的。。。。 ?year=2016.99999999999

3.