PHP数据过滤的方法


Posted in PHP onOctober 30, 2013

在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:
确保数据过滤无法被绕过,
确保不合法的信息不会影响合法的信息,并且
识别数据的来源。
关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。
调度方法
这种方法是用一个单一的 php 脚本调度(通过 URL)。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。例如:
http://a.org/dispatch.php?task=PRint_formdispatch.php是唯一的根文件(Document root)。它可以让开发者做两件非常重要的事情:
在dispatch.php最开始实现一些全局的安全处理,并且确保这些处理不可以被绕过。
容易确定在必要的地方进行数据过滤,特别是一些特殊目的的控制流操作中。
看下面的例子以便进一步讨论dispatch.php脚本:
<?php/* 全局安全处理 */switch ($_GET['task']){case 'print_form':include '/inc/presentation/form.inc';break;case 'process_form':$form_valid = false;include '/inc/logic/process.inc';if ($form_valid){include '/inc/presentation/end.inc';}else{include '/inc/presentation/form.inc';}break;default:include '/inc/presentation/index.inc';break;}?>如果这是唯一的可公开访问到的 PHP 脚本,则可以确信的一点是这个程序的设计可以确保在最开始的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如,不需要浏览整个代码就可以容易的知道:当$form_valid为true时,end.inc是唯一显示给用户的;由于它在process.inc被包含之前,并刚刚初始化为false,可以确定的是process.inc的内部逻辑会将设置它为true;否则表单将再次显示(可能会显示相关的错误信息)。
注意
如果你使用目录定向文件,如index.php(代替dispatch.php),你可以像这样使用 URL 地址:http://a.org/?task=print_form。
你还可以使用 ApacheForceType重定向或者mod_rewrite来调整 URL 地址:http://a.org/app/print-form。
包含方法
另外一种方式是使用单独一个模块,这个模块负责所有的安全处理。这个模块被包含在所有公开的 PHP 脚本的最前端(或者非常靠前的部分)。参考下面的脚本security.inc

<?phpswitch ($_POST['form']){case 'login':$allowed = array();$allowed[] = 'form';$allowed[] = 'username';$allowed[] = 'passWord';$sent = array_keys($_POST);if ($allowed == $sent){include '/inc/logic/process.inc';}break;}?>

在本例中,每个提交过来的表单都认为应当含有form这个唯一验证值,并且security.inc独立处理表单中0需要过滤的数据。实现这个要求的 HTML 表单如下所示:
<form action="/receive.php" method="POST"><input type="hidden" name="form" value="login" /><p>Username:<input type="text" name="username" /></p><p>Password:<input type="password" name="password" /></p><input type="submit" /></form>

叫做$allowed的数组用来检验哪个表单变量是允许的, 这个列表在表单被处理前应当是一致的。流程控制决定要执行什么,而process.inc是真正过滤后的数据到达的地方。
注意
确保security.inc总是被包含在每个脚本的最开始的位置比较好的方法是使用auto_prepend_file设置。
过滤的例子
建立白名单对于数据过滤是非常重要的。由于不可能对每一种可能遇到的表单数据都给出例子,部分例子可以帮助你对此有一个大体的了解。
下面的代码对邮件地址进行了验证:
<?php$clean = array();$email_pattern = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';if (preg_match($email_pattern, $_POST['email'])){$clean['email'] = $_POST['email'];}?>

下面的代码确保了$_POST['color']的内容是red,green,或者blue:
[/co<?php$clean = array();switch ($_POST['color']){case 'red':case 'green':case 'blue':$clean['color'] = $_POST['color'];break;}?>de]
下面的代码确保$_POST['num']是一个整数(integer):
[code]
<?php$clean = array();if ($_POST['num'] == strval(intval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

下面的代码确保$_POST['num']是一个浮点数(float):
<?php$clean = array();if ($_POST['num'] == strval(floatval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

名字转换
之前每个例子都使用了数组$clean。对于开发人员判断数据是否有潜在的威胁这是一个很好的习惯。 永远不要在对数据验证后还将其保存在$_POST或者$_GET中,作为开发人员对超级全局数组中保存的数据总是应当保持充分的怀疑。
需要补充的是,使用$clean可以帮助思考还有什么没有被过滤,这更类似一个白名单的作用。可以提升安全的等级。
如果仅仅将验证过的数据保存在$clean,在数据验证上仅存的风险是你所引用的数组元素不存在,而不是未过滤的危险数据。
时机
一旦 PHP 脚本开始执行,则意味着 HTTP 请求已经全部结束。此时,用户便没有机会向脚本发送数据。因此,没有数据可以被输入到脚本中(甚至register_globals被开启的情况下)。这就是为什么初始化变量是非常好的习惯。

 

 

PHP 相关文章推荐
PHP fopen 读取带中文URL地址的一点见解
Sep 25 PHP
PHP curl CURLOPT_RETURNTRANSFER参数的作用使用实例
Feb 07 PHP
ThinkPHP路由详解
Jul 27 PHP
PHP远程调试之XDEBUG
Dec 29 PHP
yii2.0数据库迁移教程【多个数据库同时同步数据】
Oct 08 PHP
PHP读取文件的常见几种方法
Nov 03 PHP
php实现当前页面点击下载文件的实例代码
Nov 16 PHP
php获取当前url地址的方法小结
Jan 10 PHP
解决Yii2邮件发送结果返回成功,但接收不到邮件的问题
May 23 PHP
Laravel中使用Queue的最基本操作教程
Dec 27 PHP
阿里云Win2016安装Apache和PHP环境图文教程
Mar 11 PHP
PHP call_user_func和call_user_func_array函数的简单理解与应用分析
Nov 25 PHP
php另类上传图片的方法(PHP用Socket上传图片)
Oct 30 #PHP
使用Curl进行抓取远程内容时url中文编码问题示例探讨
Oct 29 #PHP
is_uploaded_file函数引发的不能上传文件问题
Oct 29 #PHP
单点登录 Ucenter示例分析
Oct 29 #PHP
php中过滤非法字符的具体实现
Oct 29 #PHP
PHP时间戳 strtotime()使用方法和技巧
Oct 29 #PHP
PHP页面中文乱码分析
Oct 29 #PHP
You might like
PHP下一个非常全面获取图象信息的函数
2008/11/20 PHP
PHP正确配置mysql(apache环境)
2011/08/28 PHP
PHP与javascript实现变量交互的示例代码
2013/07/23 PHP
php+ajax导入大数据时产生的问题处理
2014/06/11 PHP
ThinkPHP应用模式扩展详解
2014/07/16 PHP
php比较两个字符串长度的方法
2015/07/13 PHP
php socket通信(tcp/udp)实例分析
2016/02/14 PHP
基于laravel制作APP接口(API)
2016/03/15 PHP
[原创]php实现子字符串位置相互对调互换的方法
2016/06/02 PHP
javascript中&quot;/&quot;运算符常见错误
2010/10/13 Javascript
CSS+jQuery实现的一个放大缩小动画效果
2013/09/24 Javascript
JS教程:window.location使用方法的区别介绍
2013/10/04 Javascript
js正则表达式匹配数字字母下划线等
2015/04/14 Javascript
jQuery实现隔行变色的方法分析(对比原生JS)
2016/11/18 Javascript
微信小程序  checkbox组件详解及简单实例
2017/01/10 Javascript
vue组件如何被其他项目引用
2017/04/13 Javascript
vue中的v-if和v-show的区别详解
2019/09/01 Javascript
JS中封装axios来管控api的2种方式
2019/09/11 Javascript
解决vue单页面应用进入页面加载所有 js 的问题
2020/08/12 Javascript
jquery实现图片放大镜效果
2020/12/23 jQuery
python中正则表达式的使用详解
2014/10/17 Python
pandas string转dataframe的方法
2018/04/11 Python
python 在屏幕上逐字显示一行字的实例
2018/12/24 Python
Python爬虫解析网页的4种方式实例及原理解析
2019/12/30 Python
在Keras中利用np.random.shuffle()打乱数据集实例
2020/06/15 Python
毕业生个人求职信范例分享
2013/12/17 职场文书
汽车销售员如何做职业生涯规划
2014/02/16 职场文书
舞蹈教育学专业求职信
2014/06/29 职场文书
高中课前三分钟演讲稿
2014/09/13 职场文书
三人合伙协议书范本
2014/10/29 职场文书
2014年个人思想工作总结
2014/11/27 职场文书
2014年街道办事处工作总结
2014/12/11 职场文书
Nginx location 和 proxy_pass路径配置问题小结
2021/09/04 Servers
详解在SQLPlus中实现上下键翻查历史命令的功能
2022/03/18 SQL Server
Python如何加载模型并查看网络
2022/07/15 Python
Java实现贪吃蛇游戏的示例代码
2022/09/23 Java/Android