- 相關(guān)推薦
PHP中的安全性知識(shí)
導(dǎo)語(yǔ):安全性也是PHP中的重要部分,下面所討論的安全性環(huán)境是在Linux+Apache+Mysql+PHP,一起來(lái)學(xué)習(xí)下吧:
一、apache server安全性設(shè)置
1、以Nobody用戶運(yùn)行
一般情況下,Apache是由Root 來(lái)安裝和運(yùn)行的。如果Apache Server進(jìn)程具有Root用戶特權(quán),那么它將給系統(tǒng)的安全構(gòu)成很大的威脅,應(yīng)確保Apache Server進(jìn)程以最可能低的權(quán)限用戶來(lái)運(yùn)行。通過(guò)修改httpd.conf文件中的下列選項(xiàng),以Nobody用戶運(yùn)行Apache 達(dá)到相對(duì)安全的目的。
User nobody Group# -1
2、ServerRoot目錄的權(quán)限
為了確保所有的配置是適當(dāng)?shù)暮桶踩,需要?yán)格控制Apache 主目錄的訪問(wèn)權(quán)限,使非超級(jí)用戶不能修改該目錄中的內(nèi)容。Apache 的主目錄對(duì)應(yīng)于Apache Server配置文件httpd.conf的Server Root控制項(xiàng)中,應(yīng)為:
Server Root /usr/local/apache
3、SSI的配置
在配置文件access.conf 或httpd.conf中的確Options指令處加入Includes NO EXEC選項(xiàng),用以禁用Apache Server 中的執(zhí)行功能。避免用戶直接執(zhí)行Apache 服務(wù)器中的執(zhí)行程序,而造成服務(wù)器系統(tǒng)的公開(kāi)化。
Options Includes Noexec
4、阻止用戶修改系統(tǒng)設(shè)置
在Apache 服務(wù)器的配置文件中進(jìn)行以下的設(shè)置,阻止用戶建立、修改 .htaccess文件,防止用戶超越能定義的系統(tǒng)安全特性。
AllowOveride None Options None Allow from all
然后再分別對(duì)特定的目錄進(jìn)行適當(dāng)?shù)呐渲谩?/p>
5、改變Apache 服務(wù)器的缺省訪問(wèn)特性
Apache 的默認(rèn)設(shè)置只能保障一定程度的安全,如果服務(wù)器能夠通過(guò)正常的映射規(guī)則找到文件,那么客戶端便會(huì)獲取該文件,如http://local host/~ root/ 將允許用戶訪問(wèn)整個(gè)文件系統(tǒng)。在服務(wù)器文件中加入如下內(nèi)容:
order deny,ellow Deny from all
將禁止對(duì)文件系統(tǒng)的缺省訪問(wèn)。
6、CGI腳本的安全考慮
CGI腳本是一系列可以通過(guò)Web服務(wù)器來(lái)運(yùn)行的程序。為了保證系統(tǒng)的安全性,應(yīng)確保CGI的作者是可信的。對(duì)CGI而言,最好將其限制在一個(gè)特定的目 錄下,如cgi-bin之下,便于管理;另外應(yīng)該保證CGI目錄下的文件是不可寫(xiě)的,避免一些欺騙性的程序駐留或混跡其中;如果能夠給用戶提供一個(gè)安全性 良好的CGI程序的模塊作為參考,也許會(huì)減少許多不必要的麻煩和安全隱患;除去CGI目錄下的所有非業(yè)務(wù)應(yīng)用的腳本,以防異常的信息泄漏。
7、SSL鏈接加密
以上這些常用的舉措可以給Apache Server 一個(gè)基本的安全運(yùn)行環(huán)境,顯然在具體實(shí)施上還要做進(jìn)一步的細(xì)化分解,制定出符合實(shí)際應(yīng)用的安全配置方案。
二、PHP安全性設(shè)置
服務(wù)器并不能阻止所有的安全問(wèn)題,例如程序漏洞問(wèn)題、用戶輸入表單問(wèn)題、PHP文件權(quán)限問(wèn)題等。 也可以通過(guò)一些手段來(lái)迷惑黑客或者別有用心者。
1、程序代碼漏洞問(wèn)題
很多 PHP 程序所存在的重大弱點(diǎn)并不是 PHP 語(yǔ)言本身的問(wèn)題,而是編程者的安全意識(shí)不高而導(dǎo)致的。因此,必須時(shí)時(shí)注意每一段代碼可能存在的問(wèn)題,去發(fā)現(xiàn)非正確數(shù)據(jù)提交時(shí)可能造成的影響。
unlink ($evil_var);
fwrite ($fp, $evil_var);
system ($evil_var);
exec ($evil_var);
?>
必須時(shí)常留意你的代碼,以確保每一個(gè)從客戶端提交的變量都經(jīng)過(guò)適當(dāng)?shù)臋z查,然后問(wèn)自己以下一些問(wèn)題:
此腳本是否只能影響所預(yù)期的文件?
非正常的數(shù)據(jù)被提交后能否產(chǎn)生作用?
此腳本能用于計(jì)劃外的用途嗎?
此腳本能否和其它腳本結(jié)合起來(lái)做壞事?
是否所有的事務(wù)都被充分記錄了?
在寫(xiě)代碼的時(shí)候問(wèn)自己這些問(wèn)題,否則以后可能要為了增加安全性而重寫(xiě)代碼了。注意了這些問(wèn)題的話,也許還不完全能保證系統(tǒng)的安全,但是至少可以提高安全性。
還可以考慮關(guān)閉 register_globals, Magic _quotes 或者其它使編程更方便但會(huì)使某個(gè)變量的合法性,來(lái)源和其值被搞亂的設(shè)置。
2、用戶輸入表單問(wèn)題
驗(yàn)證用戶輸入的任何數(shù)據(jù),保證PHP代碼的安全。
注意1:JS只是為了提高來(lái)訪用戶的體驗(yàn)而產(chǎn)生的,而不是驗(yàn)證的工具。因?yàn)槿魏我粋(gè)來(lái)訪的用戶都可能會(huì),也有可能無(wú)意間就禁用了客戶端腳本的執(zhí)行,從而跳過(guò)這層驗(yàn)證。所以我們必須在PHP的服務(wù)器端程序上檢驗(yàn)這些數(shù)據(jù)。
注意2:不要使用$_SERVER['HTTP_REFERER']這個(gè)超級(jí)變量來(lái)檢查數(shù)據(jù)的來(lái)源地址,一個(gè)很小的菜鳥(niǎo)黑客都會(huì)利用工具來(lái)偽造這個(gè)變量的數(shù)據(jù),盡可能利用Md5,或者rand等函數(shù)來(lái)產(chǎn)生一個(gè)令牌,驗(yàn)證來(lái)源的時(shí)候,驗(yàn)證這個(gè)令牌是否匹配。
3、PHP文件權(quán)限問(wèn)題
PHP 被設(shè)計(jì)為以用戶級(jí)別來(lái)訪問(wèn)文件系統(tǒng),所以完全有可能通過(guò)編寫(xiě)一段 PHP 代碼來(lái)讀取系統(tǒng)文件如 /etc/passwd,更改網(wǎng)絡(luò)連接以及發(fā)送大量打印任務(wù)等等。因此必須確保 PHP 代碼讀取和寫(xiě)入的是合適的文件。 請(qǐng)看下面的代碼,用戶想要?jiǎng)h除自己主目錄中的一個(gè)文件。假設(shè)此情形是通過(guò) web 界面來(lái)管理文件系統(tǒng),因此 Apache 用戶有權(quán)刪除用戶目錄下的文件。
$username = $_POST['user_submitted_name'];
$homedir = "/home/$username";
$file_to_ = "$userfile";
unlink ("$homedir/$userfile");
echo "$file_to_ has been d!";
?>
既然 username 變量可以通過(guò)用戶表單來(lái)提交,那就可以提交別人的用戶名和文件名,并刪除該文件。這種情況下,就要考慮其它方式的認(rèn)證:
只給 PHP 的 web 用戶很有限的權(quán)限。 -檢查所有提交上來(lái)的變量。 -以下是更加安全的文件名和變量的驗(yàn)證和檢查:
$username = $_SERVER['REMOTE_USER'];
$homedir = "/home/$username";
if (!ereg('^[^./][^/]*$', $userfile))
die('bad filename');
if (!ereg('^[^./][^/]*$', $username))
die('bad username');
?>
4、隱藏PHP擴(kuò)展名
一般而言,通過(guò)隱藏的手段提高安全性被認(rèn)為是作用不大的做法。但某些情況下,盡可能的多增加一份安全性都是值得的。
一些簡(jiǎn)單的方法可以幫助隱藏 PHP,這樣做可以提高攻擊者發(fā)現(xiàn)系統(tǒng)弱點(diǎn)的難度。在 php.ini 文件里設(shè)置 expose_php = off ,可以減少他們能獲得的有用信息。
另一個(gè)策略就是讓 web 服務(wù)器用 PHP 解析不同擴(kuò)展名。無(wú)論是通過(guò) .htaccess 文件還是 Apache 的配置文件,都可以設(shè)置能誤導(dǎo)攻擊者的文件擴(kuò)展名:
# 使PHP看上去像其它的編程語(yǔ)言
AddType application/x-httpd-php .asp .py .pl
# 使 PHP 看上去像未知的文件類型
AddType application/x-httpd-php .bop .foo .133t
# 使 PHP 代碼看上去像HTML頁(yè)面
AddType application/x-httpd-php .htm .html
要讓此方法生效,必須把 PHP 文件的擴(kuò)展名改為以上的擴(kuò)展名。這樣就通過(guò)隱藏來(lái)提高了安全性,雖然防御能力很低而且有些缺點(diǎn)。
三、Mysql數(shù)據(jù)庫(kù)安全性設(shè)置
PHP 本身并不能保護(hù)數(shù)據(jù)庫(kù)的安全。下面的章節(jié)只是講述怎樣用 PHP 腳本對(duì)數(shù)據(jù)庫(kù)進(jìn)行基本的訪問(wèn)和操作。記住一條簡(jiǎn)單的原則:深入防御。保護(hù)數(shù)據(jù)庫(kù)的措施越多,攻擊者就越難獲得和使用數(shù)據(jù)庫(kù)內(nèi)的信息。正確地設(shè)計(jì)和應(yīng)用數(shù)據(jù)庫(kù)可以減少被攻擊的擔(dān)憂。
1、數(shù)據(jù)庫(kù)設(shè)計(jì)問(wèn)題
應(yīng)用程序永遠(yuǎn)不要使用數(shù)據(jù)庫(kù)所有者或超級(jí)用戶帳號(hào)來(lái)連接數(shù)據(jù)庫(kù),因?yàn)檫@些帳號(hào)可以執(zhí)行任意的操作,比如說(shuō)修改數(shù)據(jù)庫(kù)結(jié)構(gòu)(例如刪除一個(gè)表)或者清空整個(gè)數(shù)據(jù)庫(kù)的內(nèi)容。以下截圖的用戶設(shè)置是危險(xiǎn)的。
應(yīng)該為程序的每個(gè)方面創(chuàng)建不同的數(shù)據(jù)庫(kù)帳號(hào),并賦予對(duì)數(shù)據(jù)庫(kù)對(duì)象的極有限的權(quán)限。僅分配給能完成其功能所需的權(quán)限,避免同一個(gè)用戶可以完成另一個(gè)用戶的事情。這樣即使攻擊者利用程序漏洞取得了數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,也最多只能做到和該程序一樣的影響范圍。
2.數(shù)據(jù)庫(kù)連接問(wèn)題
把連接建立在 SSL 加密技術(shù)上可以增加客戶端和服務(wù)器端通信的安全性,或者 SSH 也可以用于加密客戶端和數(shù)據(jù)庫(kù)之間的連接。如果使用了這些技術(shù)的話,攻擊者要監(jiān)視服務(wù)器的通信或者得到數(shù)據(jù)庫(kù)的信息是很困難的。
3.數(shù)據(jù)庫(kù)數(shù)據(jù)的加密
SSL/SSH 能保護(hù)客戶端和服務(wù)器端交換的數(shù)據(jù),但 SSL/SSH 并不能保護(hù)數(shù)據(jù)庫(kù)中已有的數(shù)據(jù)。SSL 只是一個(gè)加密網(wǎng)絡(luò)數(shù)據(jù)流的協(xié)議。
如果攻擊者取得了直接訪問(wèn)數(shù)據(jù)庫(kù)的許可(繞過(guò) web 服務(wù)器),敏感數(shù)據(jù)就可能暴露或者被濫用,除非數(shù)據(jù)庫(kù)自己保護(hù)了這些信息。對(duì)數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)加密是減少這類風(fēng)險(xiǎn)的有效途徑,但是只有很少的數(shù)據(jù)庫(kù)提供這些加密功能。
對(duì)于這個(gè)問(wèn)題,有一個(gè)簡(jiǎn)單的解決辦法,就是創(chuàng)建自己的加密機(jī)制,然后把它用在 PHP 程序內(nèi),最常見(jiàn)的例子就是把密碼經(jīng)過(guò) MD5 加密后的散列存進(jìn)數(shù)據(jù)庫(kù)來(lái)代替原來(lái)的明文密碼。
0) { echo 'Welcome, $username!'; } else { echo 'Authentication failed for $username.'; } ?>
4、SQL注入問(wèn)題
直接 SQL 命令注入就是攻擊者常用的一種創(chuàng)建或修改已有 SQL 語(yǔ)句的技術(shù),從而達(dá)到取得隱藏?cái)?shù)據(jù),或覆蓋關(guān)鍵的值,甚至執(zhí)行數(shù)據(jù)庫(kù)主機(jī)操作系統(tǒng)命令的目的。這是通過(guò)應(yīng)用程序取得用戶輸入并與靜態(tài)參數(shù)組合成 SQL 查詢來(lái)實(shí)現(xiàn)的。下面將會(huì)給出一些真實(shí)的例子。
$query = "SELECT id, name, ed, size FROM products
WHERE size = '$size'
ORDER BY $order LIMIT $limit, $offset;";
$result = odbc_exec($conn, $query);
?>
可以在原來(lái)的查詢的基礎(chǔ)上添加另一個(gè) SELECT 查詢來(lái)獲得密碼: select ’1′, concat(uname||’-’||passwd) as name, ’1971-01-01′, ’0′ from usertable; 假如上述語(yǔ)句(使用 ‘ 和 –)被加入到 $query 中的任意一個(gè)變量的話,那么就麻煩了。
這些攻擊總是建立在發(fā)掘安全意識(shí)不強(qiáng)的代碼上的。所以,永遠(yuǎn)不要信任外界輸入的數(shù)據(jù),特別是來(lái)自于客戶端的,包括選擇框、表單隱藏域和 cookie。就如上面的第一個(gè)例子那樣,就算是正常的查詢也有可能造成災(zāi)難。
永遠(yuǎn)不要使用超級(jí)用戶或所有者帳號(hào)去連接數(shù)據(jù)庫(kù)。要用權(quán)限被嚴(yán)格限制的帳號(hào)。 檢查輸入的數(shù)據(jù)是否具有所期望的數(shù)據(jù)格式。PHP 有很多可以用于檢查輸入的函數(shù),從簡(jiǎn)單的變量函數(shù)和字符類型函數(shù)(比如 is_numeric(),ctype_digit())到復(fù)雜的 Perl 兼容正則表達(dá)式函數(shù)都可以完成這個(gè)工作。
如果程序等待輸入一個(gè)數(shù)字,可以考慮使用 is_numeric() 來(lái)檢查,或者直接使用 settype() 來(lái)轉(zhuǎn)換它的類型,也可以用 sprintf() 把它格式化為數(shù)字。
一個(gè)更安全的防止SQL注入的分頁(yè)顯示方法:
settype($offset, 'integer');
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$query = sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",
$offset);
?>
【PHP中的安全性知識(shí)】相關(guān)文章:
PHP中php://input和$-POST的區(qū)別08-26
PHP中的魔術(shù)方法10-20
PHP中l(wèi)ist的方法07-05
PHP前端開(kāi)發(fā)中的性能05-25
PHP中的trait是什么08-13
php中死鎖問(wèn)題剖析10-14
PHP中多態(tài)如何實(shí)現(xiàn)09-04
PHP中實(shí)現(xiàn)頁(yè)面跳轉(zhuǎn)07-06
php中引用的用法分析06-22