絕不要信任外部數據或輸入
關於 Web 應用程序安全性,必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在 PHP 代碼中直接輸入的任何數據。在采取措施確保安全之前,來自任何其他來源(比如 GET 變量、表單 POST、數據庫、配置文件、會話變量或 cookie)的任何數據都是不可信任的。
例如,下面的數據元素可以被認為是安全的,因為它們是在 PHP 中設置的。
清單 1. 安全無暇的代碼
以下為引用的內容:
<?php
$myUsername = tmyer;
$arrayUsers = array(tmyer, tom, tommy);
define("GREETING", hello there . $myUsername);
?>
但是,下面的數據元素都是有瑕疵的。
清單 2. 不安全、有瑕疵的代碼
以下為引用的內容:
<?php
$myUsername = $_POST[username]; //tainted!
$arrayUsers = array($myUsername, tom, tommy); //tainted!
define("GREETING", hello there . $myUsername); //tainted!
?>
為什麼第一個變量 $myUsername 是有瑕疵的?因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字符串,包括用來清除文件或運行以前上傳的文件的惡意命令。您可能會問,"難道不能使用只接受字母 A-Z 的客戶端(Javascrīpt)表單檢驗腳本來避免這種危險嗎?"是的,這總是一個有好處的步驟,但是正如在後面會看到的,任何人都可以將任何表單下載 到自己的機器上,修改它,然後重新提交他們需要的任何內容。
解決方案很簡單:必須對 $_POST[username] 運行清理代碼。如果不這麼做,那麼在使用 $myUsername 的任何其他時候(比如在數組或常量中),就可能污染這些對象。
對用戶輸入進行清理的一個簡單方法是,使用正則表達式來處理它。在這個示例中,只希望接受字母。將字符串限制為特定數量的字符,或者要求所有字母都是小寫的,這可能也是個好主意。
清單 3. 使用戶輸入變得安全
以下為引用的內容:
<?php
$myUsername = cleanInput($_POST[username]); //clean!
$arrayUsers = array($myUsername, tom, tommy); //clean!
define("GREETING", hello there . $myUsername); //clean!
function cleanInput($input){ $clean = strtolower($input);
$clean = preg_replace("/[^a-z]/", "", $clean);
$clean = substr($clean,0,12);return $clean;
}
