php 应用安全

include 安全

如果要求用户输入文件，然后在 php 里对文件进行包含，就要注意include 安全防范。

防范措施：

• 使用basename() 返回路径中的文件名部分

• 使用realpath()，将相对路径转换为绝对路径

开放全局注册

配置项 Register_globals 在PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。

用户如果配置了 Register_globals=ON， 用户可以通过提交的 GET 参数来覆盖变量。

示例：

$b = 'b';
var_export($_GET);
parse_str($a[$_GET['var']]);
print $b;

解决方法：Register_globals=OFF （默认为OFF）

MD5 密码加盐

XSS

XSS攻击全称跨站脚本攻击，（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

防范措施：

• 使用 htmlpurifier 对输出进行过滤。它会对 html 检查，只运行在白名单上的标签和属性通过，其它都过滤。

链接：

http://htmlpurifier.org/

https://github.com/mewebstudio/Purifier

• 禁止 js 脚本读取cookie，只允许通过 http 传输。 在 php 里设置：session.cookie_httponly = On

• 通过函数过滤

1.通过strip_tags()过滤标签

2.转换引号 htmlentities($str, ENT_QUOTES);

3.要把unicode编码前面的\给转成实体, 使unicode编码就没法解析

str_replace(‘\’,‘\’)

4.转换script标签、expression标签等

PHP 漏洞检测扩展 taint ，可用于检测 XSS , SQL 注入， shell 注入等，可以在开发时使用。链接：http://pecl.php.net/package/taint

sql 注入

通过把 sql 命令插入到 Web 通过表单提交或通过请求的查询字符串，进行通过代码执行恶意的 sql 语句。

sql注入示例：

查询mysql版本:

SELECT title,content FROM `article` WHERE `id`=‘-1’ union select version(),2 -- ’

查询当前连接的数据库

SELECT title,content FROM `article` WHERE `id`=‘-1’ union select database(),2 -- ’

查询数据库结构:

SELECT `title`,`content` FROM `article` WHERE `id`=‘-1’ union1, select (SELECT (@) FROM (SELECT(@:=0x00),(SELECT (@) FROM (information_schema.columns) WHERE (table_schema>=@) AND (@)IN (@:=CONCAT(@,0x0a,‘ [ ’,table_schema,‘ ] >’,table_name,‘ > ’,column_name))))x) --’

查询用户名密码:

SELECT title,content FROM `article` WHERE `id`=‘-1’ union select username,password from user-- ’

万能登录密码:

SELECT * FROM `user` WHERE `username`=‘admin’ -- ’ AND `password`=‘xxxx’ 查看文件:
SELECT title,content FROM `article` WHERE `id`=‘-1’ union select 1,load_file('/etc/passwd') -- ’

防范措施：

• 通过字段过滤

如：intval()、filter_var()

• 数字加引号

• 对拼接 sql 的参数使用 mysql_real_escape_string() 对参数进行转义

• 使用PDO参数绑定（对于 thinkphp 框架尽量使用框架数组传参而不是拼接）

• 尽量降低应用数据库账户的数据库操作权限

CSRF 攻击

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF。CSRF 攻击通过伪装来自受信任用户的请求来利用受信任的网站。攻击示例：微博刷粉丝。

防范措施：

• 判断来源 $_SERVER['HTTP_REFERER']

• 令牌验证。表单隐藏域随机字符串作为令牌，存储在 session 中，应用提交比对 session 中的令牌和提交的令牌是否一致。

上传漏洞

文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。

防范措施：

• 上传文件类型检查。

• 上传文件和程序文件分离。(将上传文件放置在单独的目录,文件设置为可读。设置访问目录时不能执行 php 脚本)

thinkphp 5对上传的安全防范

thinkphp 5 对上传文件的验证，包括对文件大小、文件类型和后缀的验证。

源码参考：https://github.com/top-think/framework/blob/5.1/library/think/File.php

其它一些输入/输出过滤函数

str_replace、htmlspecialchars、nl2br、escapeshellcmd、escapeshellarg

配置项

配置 safe_mode_exec_dir ,让php只能执行指定目录下的命令程序

更多参考

HTML 转义字符表 http://tool.oschina.net/commons?type=2
PHP Filter 函数 http://www.w3school.com.cn/php/php_ref_filter.asp
跨站点脚本攻击深入解析 https://www.ibm.com/developerworks/cn/rational/08/0325_segal/
PHP代码审计分段讲解 https://github.com/bowu678/php_bugs