PHP安全最大化

PHP安全最大化

php中退出时清除session的问题

 

今天在做php项目的时候,需要增加安全退出的功能,也就是要求用户点"安全退出"时,执行清除session操作,并转到登录页.没想到在这个地方也小"卡"了一下.
       出现的问题是当我点"安全退出"后转到登录页,但这时如果在地址栏中输入某一个管理页面的地址,还是能进去,也就是说session并未清除.我在程序的 代码中已经使用了session_unregister()方法注销了session的变量.但还是有这个问题,问了下zw,他帮忙看了一阵也没解决了. 还是上网搜索吧,在一篇文章中 看到一段代码,他在session_unregister()后加了句session_destroy();试着也照他写的加了 session_destroy(),终于可以清除session了.我的理解是:session_unregister()方法只是注销session 变量,并未真正清除session,只有执行了session_destroy()才清除了一个session中的所有数据.

在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来防止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)

    先来说说安全问题,我们首先看一下两篇文章:
http://www.xfocus.net/articles/200107/227.html     
http://www.xfocus.net/articles/200107/228.html

    上面文章是安全焦点上的关于PHP安全的文章,基本上比较全面的介绍了关于PHP的一些安全问题。

    在PHP编码的时候,如果考虑到一些比较基本的安全问题,首先一点:
1. 初始化你的变量

    为什么这么说呢?我们看下面的代码
if ($admin)
{
    echo '登陆成功!';
    include('admin.php');
}
else
{
    echo '你不是管理员,无法进行管理!';
}

    好,我们看上面的代码好像是能正常运行,没有问题,那么加入我提交一个非法的参数过去呢,那么效果会如何呢?比如我们的这个页是 http://www.traget.com/login.php,那么我们提交:http://www.target.com/login.php?admin=1,呵呵,你想一些,我们是不是直接就是管理员了,直接进行管理。
    当然,可能我们不会犯这么简单错的错误,那么一些很隐秘的错误也可能导致这个问题,比如最近暴出来的phpwind 1.3.6论坛有个漏洞,导致能够直接拿到管理员权限,就是因为有个$skin变量没有初始化,导致了后面一系列问题。

    那么我们如何避免上面的问题呢?首先,从php.ini入手,把php.ini里面的register_global = off,就是不是所有的注册变量为全局,那么就能避免了。但是,我们不是服务器管理员,只能从代码上改进了,那么我们如何改进上面的代码呢?我们改写如 下:
$admin = 0;      // 初始化变量
if ($_POST['admin_user'] && $_POST['admin_pass'])
{
    // 判断提交的管理员用户名和密码是不是对的相应的处理代码
    // ...
    $admin = 1;
}
else
{
    $admin = 0;
}

if ($admin)
{
    echo '登陆成功!';
    include('admin.php');
}
else
{
    echo '你不是管理员,无法进行管理!';
}

    那么这时候你再提交 http://www.target.com/login.php?admin=1 就不好使了,因为我们在一开始就把变量初始化为 $admin = 0 了,那么你就无法通过这个漏洞获取管理员权限。


2. 防止SQL Injection (sql注射)

    SQL 注射应该是目前程序危害最大的了,包括最早从asp到php,基本上都是国内这两年流行的技术,基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句,导致重要数据被窃取、数据丢失或者损坏,或者被入侵到后台管理。
基本原理我就不说了,我们看看下面两篇文章就很明白了:
http://www.4ngel.net/article/36.htm
http://www.4ngel.net/article/30.htm

    那么我们既然了解了基本的注射入侵的方式,那么我们如何去防范呢?这个就应该我们从代码去入手了。

    我们知道Web上提交数据有两种方式,一种是get、一种是post,那么很多常见的sql注射就是从get方式入手的,而且注射的语句里面一定是包含一些sql语句的,因为没有sql语句,那么如何进行,sql语句有四大句:
    select 、update、delete、insert,那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢?
    于是我们使用正则就构建如下函数:

/*
函数名称:inject_check()
函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全
参        数:$sql_str: 提交的变量
返 回 值:返回检测结果,ture or false
函数作者:heiyeluren
*/
function inject_check($sql_str)
{
     return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str);    // 进行过滤
 }

    我们函数里把 select,insert,update,delete, union, into, load_file, outfile /*, ./ , ../ , ' 等等危险的参数字符串全部过滤掉,那么就能够控制提交的参数了,程序可以这么构建:

<?php
if (inject_check($_GET['id']))
{
     exit('你提交的数据非法,请检查后重新提交!');
}
else
{
    $id = $_GET['id'];
    echo '提交的数据合法,请继续!';
}
?>
    假设我们提交URL为:http://www.target.com/a.php?id=1,那么就会提示:
    "提交的数据合法,请继续!"
    如果我们提交 http://www.target.com/a.php?id=1' select * from tb_name
    就会出现提示:"你提交的数据非法,请检查后重新提交!"

    那么就达到了我们的要求。

    但是,问题还没有解决,假如我们提交的是 http://www.target.com/a.php?id=1asdfasdfasdf 呢,我们这个是符合上面的规则的,但是呢,它是不符合要求的,于是我们为了可能其他的情况,我们再构建一个函数来进行检查:

/*
函数名称:verify_id()
函数作用:校验提交的ID类值是否合法
参        数:$id: 提交的ID值
返 回 值:返回处理后的ID
函数作者:heiyeluren
*/
function verify_id($id=null)
{
   if (!$id) { exit('没有提交参数!'); }    // 是否为空判断
   elseif (inject_check($id)) { exit('提交的参数非法!'); }    // 注射判断
   elseif (!is_numeric($id)) { exit('提交的参数非法!'); }    // 数字判断
   $id = intval($id);    // 整型化
 
   return  $id;
}

    呵呵,那么我们就能够进行校验了,于是我们上面的程序代码就变成了下面的:

<?php
if (inject_check($_GET['id']))
{
     exit('你提交的数据非法,请检查后重新提交!');
}
else
{
    $id = verify_id($_GET['id']);    // 这里引用了我们的过滤函数,对$id进行过滤
    echo '提交的数据合法,请继续!';
}
?>

    好,问题到这里似乎都解决了,但是我们有没有考虑过post提交的数据,大批量的数据呢?
    比如一些字符可能会对数据库造 成危害,比如 ' _ ', ' % ',这些字符都有特殊意义,那么我们如果进行控制呢?还有一点,就是当我们的php.ini里面的magic_quotes_gpc = off 的时候,那么提交的不符合数据库规则的数据都是不会自动在前面加' '的,那么我们要控制这些问题,于是构建如下函数:

/*
函数名称:str_check()
函数作用:对提交的字符串进行过滤
参    数:$var: 要处理的字符串
返 回 值:返回过滤后的字符串
函数作者:heiyeluren
*/
function str_check( $str )
{
   if (!get_magic_quotes_gpc())    // 判断magic_quotes_gpc是否打开
   {
      $str = addslashes($str);    // 进行过滤
 }
     $str = str_replace("_", "\_", $str);    // 把 '_'过滤掉
     $str = str_replace("%", "\%", $str);    // 把' % '过滤掉
   
   return $str; 
}

OK,我们又一次的避免了服务器被沦陷的危险。

    最后,再考虑提交一些大批量数据的情况,比如发贴,或者写文章、新闻,我们需要一些函数来帮我们过滤和进行转换,再上面函数的基础上,我们构建如下函数:

/*
函数名称:post_check()
函数作用:对提交的编辑内容进行处理
参    数:$post: 要提交的内容
返 回 值:$post: 返回过滤后的内容
函数作者:heiyeluren
*/
function post_check($post)
{
   if (!get_magic_quotes_gpc())    // 判断magic_quotes_gpc是否为打开
   {
      $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
   }
   $post = str_replace("_", "\_", $post);    // 把 '_'过滤掉
   $post = str_replace("%", "\%", $post);    // 把' % '过滤掉
   $post = nl2br($post);    // 回车转换
   $post= htmlspecialchars($post);    // html标记转换
 
   return $post;
}

    呵呵,基本到这里,我们把一些情况都说了一遍,其实我觉得自己讲的东西还很少,至少我才只讲了两方面,再整个安全中是很少的内容了,考虑下一次讲更多,包括php安全配置,apache安全等等,让我们的安全正的是一个整体,作到最安全。

    最后在告诉你上面表达的:1. 初始化你的变量  2. 一定记得要过滤你的变量

posted on 2013-03-04 18:02 林中侠客 阅读(...) 评论(...) 编辑 收藏

转载于:https://www.cnblogs.com/luojianqun/archive/2013/03/04/2943189.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/474651.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java中字母用什么单词赋值_Java初学

Java-SUN语言平台J2SE(桌面) ,J2ME(移动被安卓所取代),J2EE(企业主要用于web)1.跨平台(操作系统)原理&#xff1a;在任意操作系统上运行&#xff0c;一次编写到处运行。依赖JVM(Java Virtual Machine)(不同系统Windows&#xff0c;Linux&#xff0c;mac有自己对应的JVM)2. JRE和…

POJ-3590 The shuffle Problem 置换+DP | DFS

题目链接&#xff1a;http://poj.org/problem?id3590 自己暴力给水过去了&#xff0c;不过效率有点低。题目要求的就是给一个数n&#xff0c;要你求出一种方案&#xff0c;一些和为n的数的最小公倍数最大。题目数据量不大&#xff0c;容易想到用暴力的办法求出所用情况&#x…

LeetCode MySQL 1454. 活跃用户(连续dense_rank排名函数)

文章目录1. 题目2. 解题1. 题目 表 Accounts: ------------------------ | Column Name | Type | ------------------------ | id | int | | name | varchar | ------------------------ id 是该表主键. 该表包含账户 id 和账户的用户名.表 Log…

Java随机生成长宽的矩形_java – 将正方形或矩形分解为大量随机大小的正方形或矩形...

提供的代码创建一个k-d tree.您可以使用它在矩形上绘制线条,将其划分为更小的矩形.获得树后,可以按如下方式使用它将区域划分为这些矩形&#xff1a;>在树的根部选择节点.>通过这一点绘制一条垂直线.>选择它的左子,在你刚刚通过它的父线绘制的线左侧的这一点画一条水平…

java自动加空格吗_程序加上空格和不加空格运行结果不一样

已结贴√问题点数&#xff1a;20 回复次数&#xff1a;2程序加上空格和不加空格运行结果不一样程序第六行在教育教学后面加空格结果为全部图书&#xff1a;1.郁达夫随笔&#xff1a;伤感行旅 郁达夫 北京大学出版社 38.02.教育教学 李晓燕 高等教育出…

LeetCode MySQL 585. 2016年的投资(窗口函数over(partition by xx))

文章目录1. 题目2. 解题1. 题目 写一个查询语句&#xff0c;将 2016 年 (TIV_2016) 所有成功投资的金额加起来&#xff0c;保留 2 位小数。 对于一个投保人&#xff0c;他在 2016 年成功投资的条件是&#xff1a; 他在 2015 年的投保额 (TIV_2015) 至少跟一个其他投保人在 2…

黑马程序员---面向对象笔记总结

------- android培训、java培训、期待与您交流&#xff01; ---------- 封装 匿名函数 2--匿名对象使用方式一&#xff0c;当对象的方法只调用一次时&#xff0c;可以用匿名对象完成&#xff0c;这样写比较简单&#xff0c;如果对一个对象进行多个成员必须个这个对象起个名字…

mysql 选择特定的表_MySQL选择具有多个特定列的所有表

我想获取具有3个特定列的所有表名.我想要的是从信息模式中获取所有包含columnA AND columnB AND columnC的表名.目前,我正在使用类似的查询SELECT DISTINCT TABLE_NAMEFROM INFORMATION_SCHEMA.COLUMNSWHERE COLUMN_NAMEcolumnAAND TABLE_SCHEMAmysampledatabase;如何扩展上述查…

LeetCode MySQL 1321. 餐馆营业额变化增长(over窗口函数)

文章目录1. 题目2. 解题1. 题目 表: Customer ------------------------ | Column Name | Type | ------------------------ | customer_id | int | | name | varchar | | visited_on | date | | amount | int | ---------------------…

HTML DOM content 属性

摘自&#xff1a;http://www.w3school.com.cn/htmldom/prop_style_content.asp 定义和用法 content 属性设置文本或图像出现&#xff08;浮动&#xff09;在另一个元素中的什么地方。 语法&#xff1a; Object.style.contentvalue 可能的值 值描述string定义文本内容。url定义 …

java requestbody map_java-如何将Map转换为RequestBody?

使用Retrofit 2.4.0,我正在发出Multipart POST请求.我正在将文件作为Part以及一些元数据作为PartMap发送.这就是通话的样子.MultipartPOST("https://8hoot.com/my-path")Single> uploadMedia(PartMap Map metadata,Part MultipartBody.Part filePart);还有另一个M…

LeetCode MySQL 1398. 购买了产品A和产品B却没有购买产品C的顾客

文章目录1. 题目2. 解题1. 题目 Customers 表&#xff1a; ------------------------------ | Column Name | Type | ------------------------------ | customer_id | int | | customer_name | varchar | ------------------------------ cust…

Java 网络编程(二) 两类传输协议:TCP UDP

两类传输协议&#xff1a;TCP,UDP TCP TCP是Transfer Control Protocol&#xff08;传输控制协议&#xff09;的简称&#xff0c;是一种面向连接的保证可靠传输的协议。 在TCP/IP协议中&#xff0c; IP层主要负责网络主机的定位&#xff0c;数据传输的路由&#xff0c;由IP地址…

Java求最小数用哪个函数_在Java中使用小数进行计算的函数

例如,当您键入22和56时,此代码可以正常工作,它显示正确的结果import java.util.Scanner;class apples{public static void main(String args[]){Scanner villy new Scanner (System.in);double fnum, snum, answer;System.out.println("Enter first num: ");fnum v…

LeetCode MySQL 1285. 找到连续区间的开始和结束数字(dense_rank连续排名)

文章目录1. 题目2. 解题1. 题目 表&#xff1a;Logs ------------------------ | Column Name | Type | ------------------------ | log_id | int | ------------------------ id 是上表的主键。 上表的每一行包含日志表中的一个 ID。后来一些 ID 从 Logs 表…

java自定义标签简单_JSP 自定义标签之一 简单实例

在jsp中使用自定义标签可以达到这样的目的&#xff0c;事实上&#xff0c;我们所熟知的各类框架基本上都是通过自定义标签的形式来实现的。通过使用自定义标签&#xff0c;我们可以将实现复杂的逻辑在页面用简单的标签来加以展示。下面我们来实现一个非常简单的自定义标签&…

case study

To be continue...转载于:https://www.cnblogs.com/zhangzhang/archive/2013/03/10/2953199.html

LeetCode MySQL 1440. 计算布尔表达式的值(case when then else end)

文章目录1. 题目2. 解题1. 题目 表 Variables: ------------------------ | Column Name | Type | ------------------------ | name | varchar | | value | int | ------------------------ name 是该表主键. 该表包含了存储的变量及其对应的值.表…

phpstud如何安装mysql新版_phpstudy 升级mysql版本

phpstudy里没有地方可以设置mysql数据库&#xff0c;很多人都疑惑在phpstudy里怎么升级mysql数据库版本&#xff0c;本文就教你如何在phpstudy中升级mysql的版本。phpstudy集成环境中的mysql数据库的版本默认是mysql5.5&#xff0c;下面是phpstudy升级数据库到mysql5.7的方法&a…

AjaxControlToolkit AjaxFileUpload 为英文的解决办法

下载AjaxControlToolkit的源代码 在ajaxcontroltoolkit-a2a6dc6854e0\Client\MicrosoftAjax.Extended\ExtenderBase\BaseScriptsResources.zh-CHS.resx里按照例子 如下修改 <data name"AjaxFileUpload_SelectFile" xml:space"preserve"> <val…