安全问题:编写安全的PHP代码

作为网站的所有者或从业者无不希望自己的网站可以安全的运营，然而很多时候网站开发时的一点小疏忽，很可能成为网站巨大的安全隐患。如今[url=http://dev.21tx.com/web/]Web[/url]开发的工具和语言有很多，[url=http://dev.21tx.com/web/php/]PHP[/url]便是其中一种。PHP语言本身具有无可比拟的安全特征，但却没有引起广大网站开发者的重视。网站安全可以保证企业员工敏感数据的安全，甚至能有效的阻止[url=http://www.21tx.com/server/]服务器[/url]遭劫持等问题。以下笔者将对使用PHP开发时的几点建议和大家讨论，希望可以带给用户一些帮助。 　　首先，最重要的事情就是要弄清各种变量和用户输入数据。许多你不曾注意的变量本身很可能成为恶意软件程序传播感染的极佳途径。我们可以假设在你的网站上存在一些不是太安全的代码，但却运行正常。攻击者发掘这些漏洞后可以肆无忌惮的在你的网站中进行破坏活动。不要小看这些不起眼的变量名，这些漏洞一旦被黑客利用，其不仅仅是删除文件而且删除整个密码系统或其它敏感信息，最终可能对服务器的正常运转造成巨大的伤害。
　　网站管理员对所有[b]从外部输入的文件必须检查其内容是否存在恶意代码[/b]，同时[url=http://dev.21tx.com/database/]数据库[/url]安全也是至关重要的。数据库安全必将涉及很多SQL注入等攻击方式，这里不做详细阐述，用户如果希望了解数据库安全信息，我会按需求详细介绍。
　　[b]Magic Quotes[/b]
　　Magic Quotes在处理用户文件输入时非常好用。当这个选项开启之后(位于你的php.ini文件中)它将会把所有的单引号和双引号区分开，也可以将NULL字节从用户的输入信息中分开。当开启MagicQuote时的一个问题是你是否希望你的用户进行引号过滤。如果你关闭MagicQuote的话可以在“runtime”中分析到用户输入数据的字符串。
　　如果你对PHP还不熟悉，我建议你开启这一功能直到你学会了怎么样分析和表现用户输入的数据。我个人建议使用我编写的“清除”功能。我将会给你提供一个模板，这样你就可以自己编写一个清除功能了。
[table][tr][td] <?php
function clean($string)
{
　　$string = stripslashes($string);
　　$string = htmlentities($string);
　　$string = strip_tags($string);
　　return $string;
　　}
　　?>
[/td][/tr][/table]
　　如果你的用户正在提交一个需要用户名验证的form时，你可以使用如下的功能：
[table][tr][td] <?php
$username = $_POST[username];
　　echo clean($mystring);
　　?>
[/td][/tr][/table]
　　对于这个MagicQuote来说，有3种指令来实现。你可以参考php[url=http://dev.21tx.com/dotnet/].net[/url]网站或是php manual。这三种指示基本上就是magic_quotes_gpc，这些用来处理访问请求(get，post，cookies)。magic_quotes_runtime用来处理文件和数据库，外部文件。第三种就是magic_quotes_[url=http://dev.21tx.com/database/sybase/]Sybase[/url]，如果它被激活的话就会直接废掉magic_quotes_gpc。
　　[b]通过朦胧而获得的安全[/b]
　　最近你可能没有注意到，但是我发现在一些网站上的PHP语言中可以找得到[url=http://dev.21tx.com/web/asp/]ASP[/url] (Active Server Page 动态服务器主页)或是[url=http://dev.21tx.com/web/perl/]Perl[/url](一种GGI脚本语言)扩展语言，我们可以100%肯定这个网站使用的正是PHP/SQL为基础的架构。这是一种典型的迷惑式安全策略，而不是告诉黑客你使用的正是PHP脚本从而误导他们以为你运行的是PERL或python或是其它任何脚本语言。
　　例如，你可以使用php扩展运行php脚本，就和一般情况下一样。为了不让别人看到你的"hello.php"脚本，你实际上使用Apache来隐藏或是迷惑真正的文件扩展名。因此不是使用的"hello.php"扩展名，你可以将这些文件伪装成PERL语言，你的"hello.php"仍然是PHP脚本。就像下面一样：
　　[quote]AddType application/x-httpd-php .asp .py .pl[/quote]
　　我最喜欢的就是编一个文件扩展名, 譬如 .sun 或 .fuck
　　[quote]AddType application/x-httpd-php .sun .fuck .1e3t[/quote]
　　我确信当黑客在碰到看似是运行php文件的。Sun文件的时候会急于发动攻击，后果可想而知。试一下就知道了。上面的代码使用于Apache配置文件，如果你是在一台共享的主机上的话你就不会访问到Apache配置文件。
　　[b]Re[url=http://dev.21tx.com/corp/gis/]GIS[/url]ter Globals[/b]
　　当Global4.2版本出现时PHP发生很大的变化。对于php.ini文件中的INI文件来说这是一个开或闭的选择，PHP并不是逼你采用类似其它语言一样的原始参数，正因为如此，人们将它看作是一种不安全的语言。当register globals开启的时候，它就会允许设置参数的请求。最好的例子就是用户注册形式。我们假设register globals开启：
[table][tr][td] <?php
if($authed = true) {
　　echo "my sensitive information";
　　}
　　?>
[/td][/tr][/table]
　　任何用户都可以通过发送GET请求访问敏感信息。你可以通过telnet(用于远程联接服务的标准协议或者实现此协议的软件远程登录)或是浏览器，譬如sin.php?authed=true，这样就会显示敏感信息。如果我们将其关闭，就会阻止这一问题，现在当我们访问sin.php?authed=true页面的时候，就会一片空白。用户不能从外部来源初始化变量。另外一个保护你的变量免于外部来源影响的一个办法就是检查它们是否是通过GET或是POST请求。
[table][tr][td] <?php
$authed = true;
　　if(isset($_POST[authed]) || $_GET[authed]) {
　　echo "variable violation";
　　} else {
　　if($authed == true) {
　　echo "my sensitive information";
　　}
　　}
　　?>
[/td][/tr][/table]
　　通过监控GET或是POST请求我们就可以检查到是否有人在我们的变量中注入什么东西。接下来我们收到的消息不仅包括他们已经破坏了变量，还可以及时通知管理员做出应急措施。