PHP安全编程
转自:http://www.nowamagic.net/librarys/veda/detail/2076
1.关闭register_globals,以提高安全性
2.在部署环境,不要让不相关的人看到报错信息,可以如此设置:
ini_set('error_reporting', E_ALL | E_STRICT); ini_set('display_errors', 'Off'); ini_set('log_errors', 'On'); ini_set('error_log', '/usr/local/apache/logs/error_log');
或者设置错误处理函数:set_error_handler('my_error_handler');
function my_error_handler($number, $string, $file, $line, $context) { $error = "= == == == ==\nPHP ERROR\n= == == == ==\n"; $error .= "Number: [$number]\n"; $error .= "String: [$string]\n"; $error .= "File: [$file]\n"; $error .= "Line: [$line]\n"; $error .= "Context:\n" . print_r($context, TRUE) . "\n\n"; error_log($error, 3, '/usr/local/apache/logs/error_log'); }
3.深度防范/最小权限/简单就是美/暴露最小化原则
4.平衡风险与可用性/跟踪数据
5.过滤用户输入
1)识别输入:_GET/_POST/_SERVER,session,数据库
2)过滤输入:防止非法数据进入你的应用,并且只做检查,不做纠正,提高安全性
3)区分已过滤及被污染数据:利用一个$clean数组来保存过滤后的数据,但是需要做两件事情:
a.经常初始化该数组为一个空数组
b.加入检查及阻止来自外部数据源的变量命名为clean
6.对输出要转义
1)识别输出:echo/print/printf/<?=
2)过滤输出:htmlentities/htmlspecialchars/mysql_real_escape_string/addslashes
3)区分已转义及未转义数据:利用一个$html数组来保存转义后的数据
7.利用session相关机制来避免URL语义攻击
8.防御文件上传攻击
1)限制上传大小:upload_max_filesize/post_max_size
2)对缓存区的数据进行确认:is_uploaded_file/move_uploaded_file/filesize
9.利用"过滤输入,转义输出"的原则来降低XSS攻击的风险
10.利用POST和Token来降低CSRF的风险
特别需要指出的是,习惯上GET与HEAD方式不应该用于引发一个操作,而只是用于获取信息。这些方式应该被认为是‘安全’的。客户浏览器应以特殊的方式,如POST,PUT或DELETE方式来使用户意识到正在请求进行的操作可能是不安全的
11.不要使用HTTP的头中的Referer,而是采用过滤输入的方式来避免欺骗表单的提交
12.还是采用过滤输入的方式来避免欺骗HTTP的接受
13.不要将配置文件放在根目录,也不要采用其他的特殊后缀名,防止暴露配置信息
14.利用"过滤输入,转义输出"的原则来降低SQL注入风险
1)利用参数化查询语句
2)配置magic_quotes_gpc自动对GET和POST数据进行addslashes处理
15.通过防止CSRF漏洞和修复暴露cookie的浏览器漏洞相结合来防止cookie盗窃
16.Session回话固定
SessionID是浏览器和后台交易的基础,浏览器可以通过固定或者捕获的方式来获得该数值,有以下几种防御方式:
1)可以在权限等级变化时,利用session_regenerate_id来每次重新生成
2)修改PHPSESSID,改成一些没有规律的名称
3)比较每次请求的$_SERVER['HTTP_USER_AGENT'],不同就有嫌疑
4)采用更为俺安全的SSL,防止信息被泄露
17.源代码的暴露
1)对包含文件使用非常用的扩展名,例如:inc等
2)包含文件保存在网站主目录下
3)Apache未设定.inc文件的类型
4)Apache的默认文件类型是text/plain
18.为了阻止文件名被操控,当然最有效的方法就是过滤输入,此时之外,还有以下几个方法
1)没有路径信息的文件名,用basename过滤
2)允许有路径信息但想要在检测前把它化简,用realpath过滤
3)还可以用pathinfo来获得路径信息
4)关闭allow_url_fopen,不能用include/require访问远程文件
19.通过限制登录次数或登录间隔,来限制暴力破解攻击
20.攻击者可以用抓包软件来嗅探用户密码,最好的方法是采用HTTPS
21.攻击者得到密码后,就可以进行重播攻击,可以采取的防御为
1)避免受保护资源永久访问权的的使用
2)避免受保护资源访问权的临时性
22.如果非要进行永久访问权的使用,可以采用的方法为
在username和password的基础上,加上identifier/token/timeout字段,加如二次验证
1)生成
$salt = 'SHIFLETT'; $identifier = md5($salt . md5($username . $salt)); $token = md5(uniqid(rand(), TRUE)); $timeout = time() + 60 * 60 * 24 * 7; setcookie('auth', "$identifier:$token", $timeout);
2)验证
$clean = array(); $mysql = array(); $now = time(); $salt = 'SHIFLETT'; list($identifier, $token) = explode(':', $_COOKIE['auth']); if (ctype_alnum($identifier) && ctype_alnum($token)) { $clean['identifier'] = $identifier; $clean['token'] = $token; } else { /* ... */ } $mysql['identifier'] = mysql_real_escape_string($clean['identifier']); $sql = "SELECT username, token, timeout FROM users WHERE identifier = '{$mysql['identifier']}'"; if ($result = mysql_query($sql)) { if (mysql_num_rows($result)) { $record = mysql_fetch_assoc($result); if ($clean['token'] != $record['token']) { /* Failed Login (wrong token) */ } elseif ($now > $record['timeout']) { /* Failed Login (timeout) */ } elseif ($clean['identifier'] != md5($salt . md5($record['username'] . $salt))) { /* Failed Login (invalid identifier) */ } else { /* Successful Login */ } } else { /* Failed Login (invalid identifier) */ } } else { /* Error */ }
3)退出
setcookie('auth', 'DELETED!', time());
23.尽量将Session数据保存在Mysql或Memcache中,减少因文件被操控后被猜中后泄露和操控的机会
24.PHP安全模式生效时,PHP会对正在执行的脚本所读取(或所操作)文件的属主进行检查,以保证与该脚本的属主是相同的,他是一种深度防范
