《PHP程序安全策略》由会员分享,可在线阅读,更多相关《PHP程序安全策略(24页珍藏版)》请在金锄头文库上搜索。
1、PHP程序安全策略 PHP是一种功能强大的语言和解释器,无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的,都能访问文件、执行命令或者在服务器上打开链接。而这些特性都使得PHP运行时带来安全问题。虽然PHP是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言,但正确使用编译时和运行中的一些配置选项以及恰当的应用编码将会保证其运行的安全性。一、安全从开始编译PHP开始。在编译PHP之前,首先确保操作系统的版本是最新的,必要的补丁程序必须安装过。另外使用编译的PHP也应当是最新的版本,关于PHP的安全漏洞也常有发现,请使用最新版本,如果已经安装过PHP请升
2、级为最新版本:4.2.3。相关链接:http:/security.e-matters.de/advisories/012002.html 安装编译PHP过程中要注意的3个问题:1、只容许CGI文件从特定的目录下执行:首先把处理CGI脚本的默认句柄删除,然后在要执行CGI脚本的目录在http.conf 文件中加入ScriptAlias指令。#Addhadler cgi-script .cgiScriptAlias /cgi-bin/ /usr/local/apache/cgi-bin/<Directory /usr/local/apache/cgi-bin>AllowOverride
3、 NoneOptions NoneOrder allow,denyAllow from all</Directory><Directory /home/*/public_html/cgi-bin>AllowOverride NoneOptions ExecCGIOrder allow,denyAllow from all</Directory> SriptAlias的第一个参数指明在Web中的可用相对路径,第二个参数指明脚本放在服务器的目录。应该对每个目录别名都用Directory,这样可使得除系统管理员之外的人不知道Web服务器上CGI脚本的清单。Dire
4、ctory允许用户创建自己的CGI脚本。也可用SriptAliasMatch,但Directory更容易使用。 允许用户创建自己CGI脚本可能会导致安全问题,你可能不希望用户创建自己的CGI。 Apache默认配置是注释掉cgi—script的处理句柄,但有cgi-bin目录使用SriptAlias和Directory指令。 你也可禁止CGI执行,但仍允许执行PHP脚本。2把PHP解析器放在web目录外把PHP解析器放在Web目录树外是非常重要的做法。这样可以防止web服务器对PHP的解析器的滥用。特别是不要把PHP解析器放在cgibin或允许执行CGI程序的目录下。然而,使用Ac
5、tion解析脚本是不可能的,因为用Action指令时,PHP解析器大多数要放在能够执行CGI的目录下只有当PHP脚本作为CGI程序执行时,才能把PHP解析器放在Web目录树之外。如果希望PHP脚本作为CGI程序执行(这们可以把PHP解析器放在Web目录树之外),可以这样:( 1)所有的PHP脚本必须位于能执行CGI程序的目录里。( 2)脚本必须是可执行的(仅在UNIX/Linux机器里)。(3)脚本必须在文件头包括PHP解析器的路径。你可用下面命令使PHP脚本为可执行:#chmod +x test.php4 这样使在当前目录下的文件名为testPhP4的脚本变为可执行。 下面是一个能作为CGI
6、程序运行的PHP脚的小例子。#!/usr/local/bin/phpecho This is a my small cgi program” 3. 按Apache模块方式安装:当将PHP作为Apache模块使用时,它将继承Apche的用户权限(一般情况下用户为“nobody”)。这一点对于安全性和验证有不少影响。例如,使用PHP访问数据库,除非数据库支持内建的访问控制,将不得不设置数据库对于用户“nobody”的可访问权限。这将意味着恶意的脚本在没有访问用户名和密码,也能访问并修改数据库。通过Apache验证来保护数据不被暴露,或者也
7、可使用LDAP、htaccess文件等设计自己的访问控制模型,并在PHP脚本中将此代码作为其中部分引入。 通常,一旦安全性建立,此处PHP用户(此情形即Apache用户)就风险大大降低了,会发现PHP护现在已被封禁了将可能的染毒文件写入用户目录的能力。 此处最常犯的安全性错误是赋予Apache服务器根(root)权限。 将Apache用户权限提升到根权限是极端危险的。可能会危及整个系统,因此要小心使用sudo,chroot安全隐患大的命令等。除非你对安全有绝对的掌握,否则不要让其以ROOT权限运行。更安全的php 上 二、让PHP的使用更安全。1、以安全模式运行PHP以安全模式运行PHP是使P
8、HP脚本安全使用的好方法,特别是在允许用户使用自己开发的PHP脚本时。使用安全模式会使PHP在运行函数时检查是否存在安全问题。 include、readfile、fopen、file、unlink、rmdir等等:被包含的文件或者该文件所在目录的所有者必须是正在运行的脚本的所有者; Exec、System、Passthm等等:要执行的程序必须位于特定的目录(默认为usr/localphp/bin)。编译PHP时可以用—with-exe-dir选项设定这个值。Mysql—Connect:这个函数用可选的用户名连接MySQL数据库。在安全模式下,用户名必须是当前被执行的脚本
9、的所有者,或运行httpd的用户名(通常是nobody)。HTTP Authentication:包含HTTP验证代码脚本所有者的用户ID(数字型)会自动加到验证域。这样可以防止有人通过抓取密码的程序来欺骗同一个服务器上的HTTP验证脚本。2、使用 用户识别和验证有时需要唯一地确认一个用户。用户通常由请求和响应系统确认。用户名口令组合就是这种系统的一个很好的例子,比如系统要求给出A1i的口令,响应的是Ali的口令。这样验证是因为只有Ali才知道这个口令。(1)服务器端用户验征这是用于服务端上对PHP程序要求最小的验证方法。只要让Apache来管理对用户的验证就行了。AuthName Secre
10、t page # The realmAuthType Basic# The password file has been placed outside the web treeAuthUserFile /home/car2002/website.pw<LIMIT GET POST>require valid-user</LIMIT> 你需要把上述文件(文件名为.htaccess)放在需要保护的地方。用Apache的htpasswd程序,可以建立包含用户名和口令组合的文件。把这个文件放在Web目录树之外,只让该文件的拥有者查看和修改这个文件。当然,Web服务器必须能够读取
11、这个文件。如果想读取被保护的目录,Web服务器要求浏览器提供用户名和密码。浏览器弹出对话框,用户可以输入他们的用户名和密码。如果用户名和密码与口令文件中相符合,就允许用户读取被保护的页面;反之,将得到错误页面,告诉用户没有通过验证。被保护的域会显示出来以便用户知道输入那个用户名和密码。(2)在PHP中进行用户识别和验证和在Apache服务器端进行用户识别和验证相比,在PHP进行用户识别和验证有以下优点:A、可注销。B、可失效。如用户登录后40分钟没有浏览你的网站,你可强制他们重新通过验证。C、可定制。D、可基于数据库。你可以用保存在各种各样的数据库里的数据来验证用户,并且记录访问者访问网站的详
12、细日志。E、可用于每个页面。你可在每个页面上决定是否需要验证。F、你也可以使浏览器弹出对话框。下面的例子显示了怎样从,MySQL数据库中检索用名和口令:让用户填人用户名和口令。 <?if(!isset($PHP_AUTH_USER) Header(WWW-authenticate: basic realm=restricted area);Header( HTTP/I.0 401 Unauthorized);echo You failed to provide the correct password.n;exit; else mysql_select_db(users) ;$user_
13、id = strtolower($PHPAUTH_USER);$result = mysql_query(SELECT password FROM users .WHERE username = $username) ;$row = mysql_fetch_array($result) ;if ($PHP_AUTH_PW != $rowpassword) Header( WWW-authenticate: basic realm=restricted areaHeader( HTTP/I.0 401 Unauthorized);echo You failed to provide the co
14、rrect password.n ;exit;?>Only users with a working username/password combination can see this (3) 检测IP地址一般人们普遍认为一个IP地址唯一地确定一个访问者。但实际上并不是这样的。代理服务器可用相同的IP地址发送不同用户的请求。另外IP地址的盗用也普遍存在。检测 IP地址有它们的用处,但相当有限。例如你是一个论坛版主,你发现某个用户粘贴一些不健康的、违法的内容。你可以找到他的IP地址,把从这个IP连进来的用户逐出论坛。使用下面一行命令将会得到某个特定请求的源IP地址:# ip = $REM
15、OTE_ADDR4、使用PHP加密技术在PHP中,加密技术主要用来加密信息、产生校验和和摘要。使用加密技术可大大地增强安全性能。 这里只讲述使用加密技术的一些概念。如果你想进一步了解,应参考一些好的加密技术资料。加密技术的标准是Bmce Schneier的应用加密技术,非常值得一读。他的网站( )是在互联网上查找加密技术资料的好起点。数据加密是一个非常复杂的话题,这里只简单介绍一下。PHP中大多数的加密函数由mcrypt库和mhash库提供。你需要在系统中装上这两个库,在编译时加上-ith-mcrypt和-ith-hash选项。PHP从 3013版本开始支持mcrypt库。5、使用具有SSL技术SSI是英文Server Side Includes的缩写。使用具有SSL(安全套接字协议层)功能的web服务器,可以不用改变一行代码而提高网站的安全性能。SSI使用加密方法来保护web服务器和浏览器之间的信息流。SSL不仅用于加密在互联网上传递的数据流,而且还提供双方身份验证。这样,你就可以安全地在线购物而不必担心别人矢随你的信用卡的信息。这种特性使得SSL适用于那些交换重要信息的地方,像电子商务和基于
