《虚拟主机问题之用PHP4.2书写安全的脚本》由会员分享,可在线阅读,更多相关《虚拟主机问题之用PHP4.2书写安全的脚本(5页珍藏版)》请在金锄头文库上搜索。
1、虚拟主机问题之用 PHP 4.2 书写安全的脚本在很长一段时间内,PHP 作为服务在很长一段时间内,PHP 作为服务器端脚本语言的最大卖点之一就是会为从表单提交的值自动建立一个全局变量。在 PHP 4.1 中,PHP 的制作者们推荐了一个访问提交数据的替代手段。在 PHP 4.2 中,他们取消了那种老的做法!正如我将在这篇文章中解释的那样,作出这样的变化的目的是出于安全性的考虑。我们将研究 PHP 在处理表单提交及其它数 据时的新的做法,并说明为什么这样做会提高代码的安全性。这里有什么错误?看看下面的这段 PHP 脚本,它用来在输入的用户名及口令正确时授权访问一个 Web 页面:Please
2、enter your username and password:” method=”POST”Username: Password: OK,我相信大约半数的读者会不屑的说“太愚蠢了 我不会犯这样的错误的!” 但是我保证有很多的读者会想“嗨,没什么问题啊,我也会这么写的!”当然还会有少数人会对这个问题感到困惑(“ 什么是 PHP?”)。PHP 被设计为一个“好的而且容易的” 脚本语言,初学者可以在很短的时间内学会使用它;它也应该能够避免初学者犯上面的错误。再回到刚才的问题,上面的代码中存在的问题是你可以很容易地获得访问的权力,而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添 加
3、?authorized=1 。因为PHP 会自动地为每一个提交的值创建一个变量 不论是来自动一个提交的表单、URL 查询字符串还是一个 cookie 这会将$authorized 设置为 1,这样一个未授权的用户也可以突破安全限制。那么,怎么简单地解决这个问题呢?只要在程序的开头将$authorized 默认设置为 false。这个问题就不存在了!$authorized 是一个完全在程序代码中创建的变量;但是为什么开发者得为每一个恶意的用户提交的变量担心呢?PHP 4.2 作了什么改变?在 PHP 4.2 中,新安装的 PHP 中的 register_globals 选项默认为关闭,因此 EG
4、PCS 值(EGPCS 是 Environment、Get、 Post、Cookies 、Server 的缩写 这是 PHP 中外部变量来源的全部范围)不会被作为全局变量来创建。当然,这个选项还可以通过手工来开启,但是PHP 的开发者推荐你将其关闭。要贯彻他们的 意图,你需要使用其它的方法来获取这些值。从 PHP 4.1 开始,EGPCS 值就可以从一组指定的数组中获得:$_ENV 包含系统环境变量$_GET 包含查询字符串中的变量,以及提交方法为 GET 的表单中的变量$_POST 包含提交方式为 POST 的表单中的变量$_COOKIE 包含所有 cookie 变量$_SERVER 包含服
5、务器变量,例如 HTTP_USER_AGENT$_REQUEST 包含$_GET、$_POST 和$_COOKIE 的全部内容$_SESSION 包含所有已注册的 session 变量在 PHP 4.1 之前,当开发者关闭 register_globals 选项(这也被考虑为提高 PHP 性能的一种方法)后,必须使用诸如$HTTP_GET_VARS 这样的令人讨厌的名字来获取这些变量。这些新的变量名不仅仅短,而且它们还有其他优点。首先,让我们在 PHP 4.2 中(也就是说关闭 register_globals 选项) 重写上面提到的代码:Please enter your username
6、and password:” method=”POST”Username: Password: 正如你看到的,我所需要做的只是在代码的开始增加下面两行:$username = $_REQUESTusername;$password = $_REQUESTpassword;因为我们希望用户名和密码是由用户提交的,所以我们从$_REQUEST 数组中获取这些值。使用这个数组使得用户可以自由选择传递方式:通过 URL 查询字 符串( 例如允许用户创建书签时自动输入他们的证书)、通过一个提交的表单或者是通过一个 cookie。如果你想要限制只能通过表单提交证书(更精确地说, 是通过 HTTP POST
7、 请求) ,你可以使用$_POST数组:$username = $_POSTusername;$password = $_POSTpassword;除了“引入”这两个变量以外,程序代码没有任何改变。简单地关闭 register_globals 选项促使开发者更进一步了解哪些数据是来自外部的(不可信任的) 资源。请注意这里还有一个小问题:PHP 中默认的 error_reporting 设置仍然是 E_ALL & E_NOTICE,因此如果“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST 数组中获得这 两个值并不会招致任何错误信息。如晨不你
8、的 PHP 程序需要严格的错误检查,你还需要增加一些代码以首先检查这些变量。但是这是不是意味着更多的输入?是的,在象上面这样的简单程序中,使用 PHP 4.2 常常会增加输入量。但是,还是看看光明的一面吧 你的程序终究是更安全了!不过认真的说,PHP 的设计者并没有完全忽视你的痛苦。在这些新数组中有一个特殊的其它所 PHP 变量都不具备的特征,它们是完全的全局变量。这对你有什么帮助呢?让我们先对我们的示例进行一下扩充。为了使得站点中的多个页面可以使用用户名/口令论证,我们将我们用户认证程序写到一个include 文件(protectme.php)中:Please enter your user
9、name and password:” method=”POST”Username: Password: 现在,我们刚才的页面看上去将是这样的:很简单,很清晰明了,对不对?现在是考验你的眼力和经验的时候了 在 authorize_user 函数中少了什么?在函数中没有申明$_POST 是一个全局变量!在 php 4.0 中,当 register_globals 开启时,你需要增加一行代码以在函数中获取$username 和$password 变量:function authorize_user($authuser, $authpass)global $username, $password;在
10、 PHP 中,和其它具有类似语法的语言不同,函数外的变量在函数中不能自动获得,你需要象上面所说明的那样增加一行以指定其来自 global 范围。在 PHP 4.0 中,当关闭 register_globals 以提供安全性时,你可以使用$HTTP_POST_VARS数组以获得你的表单提交的值,但是你还是需要从全局范围导入这个数组:function authorize_user($authuser, $authpass)global $HTTP_POST_VARS;$username = $HTTP_POST_VARSusername;$password = $HTTP_POST_VARSpas
11、sword;但是在 PHP 4.1 及以后的版本中,特殊的$_POST 变量(以及上面提到的其它变量 )可以在所有范围内使用。这就是不需要在函数中申明$_POST 变量是一个全局变量的原因:function authorize_user($authuser, $authpass)$username = $_POSTusername;$password = $_POSTpassword;这对 session 有什么影响?特殊的$_SESSION 数组的引入实际上有助于简化 session 代码。你不需要将 session 变量申明为全局变量,然后再去留意哪些变量被注册了,你现在可以简单地从$_S
12、ESSIONvarname中引用你所有的 session 变量。现在让我们来看看另一个用户认证的例子。这一次,我们使用 sessions 以标志一个在你的网站继续逗留的用户已经经过了用户认证。首先,我们来看看 PHP 4.0 版本( 开启register_globals):和刚开始的程序一样,这个程序也存在安全漏洞,在 URL 的最后加上?authorized=1 可以绕过安全措施直接访问页面内容。开发者可以将$authorized 视为一个 session 变量而忽视了可以很容易地通过用户输入设置同样的变量。当我们增加了我们的特殊的数组(PHP 4.1)并关闭 register_global
13、s(PHP 4.2)后,我们的程序将是这样的:是不是更加简单了?你不再需要再将普通的变量注册为一个 session 变量,你只需要直接设置 session 变量(在$_SESSION 数组中) ,然后用同样的方法使用它。程序变得更短了,而且对于什么变量是 session 变量也不会引起混乱!总结在这篇文章中,我解释了 PHP 脚本语言作出改变的深层原因。在 PHP 4.1 中,添加了一组特殊数据以访问外部数据。这些数组可以在任何范围内调用,这使得外部数据的访问更方便。在 PHP 4.2 中,register_globals 被默认关闭以鼓励使用这些数组以避免无经验的开发者编写出不安全的 PHP 代码。
