下载首页 网络学院 最新更新 软件分类 国产软件 国外软件 汉化补丁 注册绿色 下载排行 精品软件 RSS订阅当前栏目
设为首页  
联系我们  
加入收藏  
网页制作 冲浪宝典 图形图像 操作系统 软件教学 编程开发 认证考试 安全技术 站长专区 文学驿站 娱乐天地 游戏天地 办公软件
文章搜索
您的位置: 首页 >> 文章首页 >> 编程开发 >> 网络编程 >> PHP教程 >> 确保PHP安全,不能违反的四条安全规则
精品推荐
PHP教程点击TOP10
·十天学会php之第一天
·绝对简单易学的PHP入门教程
·PHP 和 MySQL 基础教程(一)
·十天学会php之第二天
·详细讲解PHP编程中分页显示的制作
·PHP新手上路(一)
·十天学会php之第三天
·十天学会php之第四天
·十天学会php之第七天
·实例研究PHP函数isset和empty的区别
网络编程点击TOP10
·ASP.NET 程序中常用的三十三种代码
·从零开始学ASP.NET(基础篇)
·『原创』C#中TreeView类操作全攻略:建立树,新增节点,删除节点,修改节点,拖动节点,与Oracle数据库交互操作(一)
·C#编写的windows计算器-源代码
·官方水晶报表 .NET 应用程序实例下载 (C#、Visual C++.NET)
·VS.net 2005 Beta 下载地址(Express Edition)
·ASP.NET2.0下含有DropDownList的GridView编辑、删除的完整例子!
·c#操作word表格
·.NET 初 级 读 本
·用C#实现木马程序
精选专题

确保PHP安全,不能违反的四条安全规则
作者: 来源:http://www.xgdown.com/ 时间:2007-8-29 8:12:38

确保PHP安全,不能违反的四条安全规则(4) $pid = $_GET['pid'];
//we create an object of a fictional class Page
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>

这 里有什么错吗?首先,这里隐含地相信来自浏览器的 GET 变量 pid 是安全的。这会怎么样呢?大多数用户没那么聪明,无法构造出语义攻击。但是,如果他们注意到浏览器的 URL 位置域中的 pid=33,就可能开始捣乱。如果他们输入另一个数字,那么可能没问题;但是如果输入别的东西,比如输入 SQL 命令或某个文件的名称(比如 /etc/passwd),或者搞别的恶作剧,比如输入长达 3,000 个字符的数值,那么会发生什么呢?

在这种情况下,要记住基本规则,不要信任用户输入。应用程序开发人员知道 template.php 接受的个人标识符(PID)应该是数字,所以可以使用 PHP 的 is_numeric() 函数确保不接受非数字的 PID,如下所示:

清单 9. 使用 is_numeric() 来限制 GET 变量

<?php
$pid = $_GET['pid'];
if (is_numeric($pid)){
    //we create an object of a fictional class Page
    $obj = new Page;
    $content = $obj->fetchPage($pid);
    //and now we have a bunch of PHP that displays the page
}else{
    //didn't pass the is_numeric() test, do something else!
}
?>

这个方法似乎是有效的,但是以下这些输入都能够轻松地通过 is_numeric() 的检查:

100 (有效)
100.1 (不应该有小数位)
+0123.45e6 (科学计数法 —— 不好)
0xff33669f (十六进制 —— 危险!危险!)

那么,有安全意识的 PHP 开发人员应该怎么做呢?多年的经验表明,最好的做法是使用正则表达式来确保整个 GET 变量由数字组成,如下所示:

清单 10. 使用正则表达式限制 GET 变量

<?php
$pid = $_GET['pid'];
if (strlen($pid)){
    if (!ereg("^[0-9]+$",$pid)){
        //do something appropriate, like maybe logging them out or sending them back to home page
    }
}else{
    //empty $pid, so send them back to the home page
}
//we create an object of a fictional class Page, which is now
//moderately protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>

需 要做的只是使用 strlen() 检查变量的长度是否非零;如果是,就使用一个全数字正则表达式来确保数据元素是有效的。如果 PID 包含字母、斜线、点号或任何与十六进制相似的内容,那么这个例程捕获它并将页面从用户活动中屏蔽。如果看一下 Page 类幕后的情况,就会看到有安全意识的 PHP 开发人员已经对用户输入 $pid 进行了转义,从而保护了 fetchPage() 方法,如下所示:

清单 11. 对 fetchPage() 方法进行转义

<?php

共9页 9 7 [1] [2] [3] [4] [5] [6] [7] [8] [98 :>

确保PHP安全,不能违反的四条安全规则 相关文章:
确保PHP安全,不能违反的四条安全规则 相关软件:
特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
转载请注明来源:http://www.xgdown.com
帮助(?) 软件发布 版权声明 友情连接
Copyright 2005-2005 星光下载 All rights reserved. Powered By: DownPlus