10 个 PHP 常见安全问题（实例讲解）-php教程

绝对于其余几种言语来讲， PHP 正在 web 建站方面有更年夜的劣势，即便是老手，也能很容易搭建一个网站进去。但这类劣势也容易带来一些负面影响，由于不少的 PHP 教程不触及到平安方面的常识。

此帖子分为几局部，每一局部会涵盖没有同的平安要挟以及应答战略。然而，这并非说你做到这几点当前，就肯定能防止你的网站呈现任何成绩。假如你想进步你的网站平安性的话，你应该持续经过浏览册本或许文章，来钻研若何进步你的网站平安性

出于演示需求，代码可能没有是很完满。一样平常开发进程中，不少代码都蕴含正在了框架跟各类库外面。作为一个后盾开发，你不只要纯熟根本的 CURD，更要晓得若何维护你的数据。

1. SQL 注入

我赌一包辣条，你一定会看到这里。 SQL 注入是对您网站最年夜的要挟之一，假如您的数据库遭到他人的 SQL 注入的攻打的话，他人能够转出你的数据库，兴许还会孕育发生更重大的结果。

网站要从数据库中猎取静态数据，就必需执行 SQL 语句，举例以下：

<?php
$username = $_GET['username'];
$query = "SELECT * FROM users WHERE username = '$username'";

攻打者管制经过 GET 以及 POST 发送的查问（或许例如 UA 的一些其余查问）。普通状况下，你心愿查问户名为「 peter 」的用户孕育发生的 SQL 语句以下：

SELECT * FROM users WHERE username = 'peter'

然而，攻打者发送了特定的用户名参数，例如：' OR '1'='1

这就会招致 SQL 语句变为这样：

SELECT * FROM users WHERE username = 'peter' OR '1' = '1'

这样，他就能正在没有需求明码的状况下导出你的整个用户表的数据了。

那末，咱们若何避免这种事变的发作呢？支流的处理办法有两种。本义用户输出的数据或许应用封装好的语句。本义的办法是封装好一个函数，用来对用户提交的数据进行过滤，去掉无害的标签。然而，我没有太保举应用这个办法，由于比拟容易遗记正在每一个中央都做此解决。

上面，我来引见若何应用 PDO 执行封装好的语句（ mysqi 也同样）：

$username = $_GET['username'];
$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$query->execute(['username' => $username]);
$data = $query->fetch();

静态数据的每一个局部都以：做前缀。而后将一切参数作为数组通报给执行函数，看起来就像 PDO 为你本义了无害数据同样。

简直一切的数据库驱动顺序都支持封装好的语句，不理由没有应用它们！养成应用他们的习气，当前就没有会遗记了。

你也能够参考 phpdelusions 中的一篇对于静态构建 SQL 查问时解决平安成绩的文章。链接：

https://phpdelusions.net/pdo/sql_injection_example

2. XSS

XSS 又叫 CSS (Cross Site Script) ，跨站剧本攻打。它指的是歹意攻打者往 Web 页面里拔出歹意 html 代码，当用户阅读该页之时，嵌入此中 Web 外面的 html 代码会被执行，从而达到歹意攻打用户的非凡目的。

上面以一个搜寻页面为例子：

<body>
<?php
$searchQuery = $_GET['q'];
/* some search magic here */
?>
<h1>You searched for: <?php echo $searchQuery; ?></h1>
<p>We found: Absolutely nothing because this is a demo</p>
</body>

由于咱们把用户的内容间接打印进去，没有通过任何过滤，合法用户能够拼接 URL：

search.php?q=%3Cscript%3Ealert(1)%3B%3C%2Fscript%3E

PHP 衬着进去的内容以下，能够看到 Javascript 代码会被间接执行：

<body>
<h1>You searched for: <script>alert(1);</script></h1>
<p>We found: Absolutely nothing because this is a demo</p>
</body>

问：JS 代码被执行有甚么年夜没有了的？

Javascript 能够:

● 偷走你用户阅读器里的 Cookie；

● 经过阅读器的记住明码性能猎取到你的站点登录账号以及明码；

● 窃取用户的秘密信息；

● 你的用户正在站点上能做到的事件，有了 JS 权限执行权限就都能做，也就是说 A 用户能够模仿成为任何用户；

● 正在你的网页中嵌入歹意代码；

...

问：若何防备此成绩呢？

好音讯是比拟进步前辈的阅读器如今曾经具有了一些根底的 XSS 防备性能，不外请没有要依赖与此。

正确的做法是坚定没有要置信用户的任何输出，并过滤掉输出中的一切非凡字符。这样就能毁灭绝年夜局部的 XSS 攻打：

<?php
$searchQuery = htmlentities($searchQuery, ENT_QUOTES);

或许你能够应用模板引擎 Twig ，普通的模板引擎城市默许为输入加之 htmlentities 防备。

假如你放弃了用户的输出内容，正在输入时也要特地留意，正在如下的例子中，咱们容许用户填写本人的博客链接：

<body>
  <a href="<?php echo $homepageUrl; ?>">Visit Users homepage</a>
</body>

以上代码可能第一眼看没有进去有成绩，然而假定用户填入如下内容：

#" onclick="alert(1)

会被衬着为：

<body>
  <a href="#" onclick="alert(1)">Visit Users homepage</a>
</body>

永远永远没有要置信用户输出的数据，或许，永远都假定用户的内容是有攻打性的，立场端正了，而后小心肠解决好每一一次的用户输出以及输入。

另外一个管制 XSS 攻打的办法是提供一个 CSP Meta 标签，或许标头信息，更多概况请见：

https://phpdelusions.net/pdo/sql_injection_example

另外设置 Cookie 时，假如无需 JS 读取的话，请必需设置为 "HTTP ONLY"。这个设置能够令 JavaScript 无奈读取 PHP 端种的 Cookie。

3. XSRF/CSRF

CSRF 是跨站申请捏造的缩写，它是攻打者经过一些妙技诈骗用户去拜访已经认证过的网站并运转一些操作。

尽管此处展现的例子是 GET 申请，但只是相较于 POST 更易了解，并不是防护手法，二者都没有是私密的 Cookies 或许多步表单。

如果你有一个容许用户删除了账户的页面，以下所示：

<?php
//delete-account.php
$confirm = $_GET['confirm'];
if($confirm === 'yes') {
  //goodbye
}

攻打者能够正在他的站点上构建一个触发这个 URL 的表单（一样实用于 POST 的表单），或许将 URL 加载为图片引诱用户点击：

<img src="https://example.com/delete-account.php?confirm=yes" />

用户一旦触发，就会执行删除了账户的指令，眨眼你的账户就隐没了。

进攻这样的攻打比进攻 XSS 与 SQL 注入更复杂一些。

最罕用的进攻办法是天生一个 CSRF 令牌加密平安字符串，普通称其为 Token，并将 Token 存储于 Cookie 或许 Session 中。

每一次你正在网页结构表单时，将 Token 令牌放正在表单中的暗藏字段，表单申请效劳器当前会依据用户的 Cookie 或许 Session 里的 Token 令牌比对，校验胜利才给予经过。

因为攻打者无奈晓得 Token 令牌的内容（每一个表单的 Token 令牌都是随机的），因而无奈假冒用户。

<?php /* 你嵌入表单的页面 */ ?>
<form action="/delete-account.php" method="post">
  <input type="hidden" name="csrf" value="<?php echo $_SESSION['csrf']; ?>">
  <input type="hidden" name="confirm" value="yes" />
  <input type="submit" value="Delete my account" />
</form>
## 
<?php
//delete-account.php
$confirm = $_POST['confirm'];
$csrf = $_POST['csrf'];
$knownGoodToken = $_SESSION['csrf'];
if($csrf !== $knownGoodToken) {
  die('Invalid request');
}
if($confirm === 'yes') {
  //goodbye
}

请留意，这是个十分简略的示例，你能够退出更多的代码。假如你应用的是像 Symfony 这样的 PHP 框架，那末自带了 CSRF 令牌的性能。

你还能够查看对于 OWASP 更具体的成绩以及更多进攻机制的文章：

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.md

4. LFI

LFI （内陆文件蕴含） 是一个用户未经历证从磁盘读取文件的破绽。

我常常遇到编程没有标准的路由代码示例，它们没有验证过滤用户的输出。咱们用如下文件为例，将它要衬着的模板文件用 GET 申请加载。

<body>
<?php
  $page = $_GET['page'];
  if(!$page) {
    $page = 'main.php';
  }
  include($page);
?>
</body>

因为 Include 能够加载任何文件，不只仅是 PHP，攻打者能够将零碎上的任何文件作为蕴含指标通报。

index.php?page=../../etc/passwd

这将招致 /etc/passwd 文件被读取并展现正在阅读器上。

要进攻此类攻打，你必需细心思考容许用户输出的类型，并删除了可能无害的字符，如输出字符中的 “.” “/” “\”。

假如你真的想应用像这样的路由零碎（我没有倡议以任何形式），你能够主动附加 PHP 扩大，删除了任何非 [a-zA-Z0-9-_] 的字符，并指定从公用的模板文件夹中加载，以避免被蕴含任何非模板文件。

我正在没有同的开发文档中，屡次看到造成此类破绽的 PHP 代码。从一开端就要有明晰的设计思绪，容许所需求蕴含的文件类型，并删除了掉过剩的内容。你还能够结构要读取文件的相对门路，并验证文件能否存正在来作为维护，而没有是任何地位都给予读取。

5. 没有充沛的明码哈希

年夜局部的 Web 使用需求保留用户的认证信息。假如明码哈希做的足够好，正在你的网站被攻破时，便可维护用户的明码没有被合法读取。

起首，最不该该做的事件，就是把用户明码明文贮存起来。年夜局部的用户会正在多个网站上应用同一个明码，这是不成扭转的现实。当你的网站被攻破，象征着用户的其余网站的账号也被攻破了。

其次，你不该该应用简略的哈希算法，现实上一切不专门为明码哈希优化的算法都不该应用。哈希算法如 MD5 或许 SHA 设计初志就是执行起来十分快。这没有是你需求的，明码哈希的最终指标就是让黑客破费无量尽的工夫以及精力都无奈破解进去明码。

另一个比拟首要的点是你应该为明码哈希加盐（Salt），加盐解决防止了两个一样的明码会孕育发生一样哈希的成绩。

如下应用 MD5 来做例子，以是请万万没有要应用 MD5 来哈希你的明码， MD5 是没有平安的。

如果咱们的用户 user1 以及 user315 都有相反的明码 ilovecats123，这个明码尽管看起来是强明码，有字母无数字，然而正在数据库里，两个用户的明码哈希数据将会是相反的：5e2b4d823db9d044ecd5e084b6d33ea5 。

假如一个假如黑客拿下了你的网站，猎取到了这些哈希数据，他将没有需求去暴力破解用户 user315 的明码。咱们要只管即便让他花年夜精力来破解你的明码，以是咱们对数据进行加盐解决：

<?php
//warning: !!这是一个很没有平安的明码哈希例子，请没有要应用!!
$password = 'cat123';
$salt = random_bytes(20);
$hash = md5($password . $salt);

最初正在保留你的惟一明码哈希数据时，请没有要遗记连 $salt 也曾经保留，不然你将无奈验证用户。

正在当下，最佳的明码哈希选项是 bcrypt，这是专门为哈希明码而设计的哈希算法，同时这套哈希算法里还容许你设置装备摆设一些参数来加年夜破解的难度。

新版的 PHP 中也自带了平安的明码哈希函数 password_hash ，此函数曾经蕴含了加盐解决。对应的明码验证函数为 password_verify 用来检测明码能否正确。password_verify 还可无效避免 时序攻打.

如下是应用的例子：

<?php
//user signup
$password = $_POST['password'];
$hashedPassword = password_hash($password, PASSWORD_DEFAULT);
//login
$password = $_POST['password'];
$hash = '1234'; //load this value from your db
if(password_verify($password, $hash)) {
  echo 'Password is valid!';
} else {
  echo 'Invalid password.';
}

需求廓清的一点是：明码哈希并非明码加密。哈希（Hash）是将指标文本转换成具备相反长度的、不成逆的杂凑字符串（或叫做音讯择要），而加密（Encrypt）是将指标文本转换成具备没有同长度的、可逆的密文。显然他们之间最年夜的区分是可逆性，正在贮存明码时，咱们要的就是哈希这类不成逆的属性。

6. 两头人攻打

MITM （两头人） 攻打没有是针对效劳器间接攻打，而是针对用户进行，攻打者作为两头人诈骗效劳器他是用户，诈骗用户他是效劳器，从而来阻拦用户与网站的流量，并从中注入歹意内容或许读取私密信息，通常发作正在公共 WiFi 网络中，也有可能发作正在其余流量经过之处，例如 ISP 经营商。

对此的惟一进攻是应用 HTTPS，应用 HTTPS 能够将你的衔接加密，而且无奈读取或许窜改流量。你能够从 Let's Encrypt 猎取收费的 SSL 证书，或从其余供给商处采办，这里没有具体引见若何正确设置装备摆设 WEB 效劳器，由于这与使用顺序平安性有关，且正在很年夜水平上取决于你的设置。

你还能够采取一些措施使 HTTPS 更平安，正在 WEB 效劳器设置装备摆设加之 Strict-Transport-Security 标示头，此头部信息通知阅读器，你的网站始终经过 HTTPS 拜访，假如未经过 HTTPS 将前往谬误陈诉提醒阅读器不该显示该页面。

但是，这里有个显著的成绩，假如阅读器以前从未拜访过你的网站，则无奈晓得你应用此标示头，这时候候就需求用到 Hstspreload。

能够正在此注册你的网站:

https://hstspreload.org/

你正在此处提交的一切网站都将被标志为仅 HTTPS，并硬编码到 Google Chrome、FireFox、Opera、Safari、IE11 以及 Edge 的源代码中。

你还能够正在 DNS 设置装备摆设中增加 Certification Authority Authorization (CAA) record ，能够仅容许一个证书颁布机构（例如： Let's encrypt）公布你的域名证书，这进一步进步了用户的平安性。

7. 饬令注入

这多是效劳器遇到的最重大的攻打，饬令注入的指标是诈骗效劳器执行恣意 Shell 饬令

你假如应用 shell_exec 或是 exec 函数。让咱们做一个小例子，容许用户简略的从效劳器 Ping 没有同的主机。

<?php
$targetIp = $_GET['ip'];
$output = shell_exec("ping -c 5 $targetIp");

输入将包罗对指标主机 Ping 5 次。除了非采纳 sh 饬令执行 Shell 剧本，不然攻打者能够执行想要的任何操作。

ping.php?ip=8.8.8.8;ls -l /etc

Shell 将执行 Ping 以及由攻打者拼接的第二个饬令，这显然长短常风险的。

感激 PHP 提供了一个函数来本义 Shell 参数。

escapeshellarg 本义用户的输出并将其封装成单引号。

<?php
$targetIp = escapeshellarg($_GET['ip']);
$output = shell_exec("ping -c 5 $targetIp");

如今你的饬令应该是相称平安的，就集体而言，我依然防止应用 PHP 挪用内部饬令，但这齐全取决于你本人的爱好。

另外，我倡议进一步验证用户输出能否合乎你希冀的方式。

8. XXE

XXE （XML 内部实体） 是一种使用顺序应用设置装备摆设没有正确的 XML 解析器解析内部 XML 时，招致的内陆文件蕴含攻打，乃至能够近程代码执行。

XML 有一个不为人知的特点，它容许文档作者将近程以及内陆文件作为实体蕴含正在其 XML 文件中。

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY passwd SYSTEM "file:///etc/passwd" >]>
   <foo>&passwd;</foo>

就像这样， /etc/passwd 文件内容被转储到 XML 文件中。

假如你应用 libxml 能够挪用 libxml_disable_entity_loader 来维护本人免受此类攻打。应用前请细心反省 XML 库的默许设置装备摆设，以确保设置装备摆设胜利。

9. 正在消费环境中没有正确的谬误陈诉暴露敏感数据

假如你没有小心，可能会正在消费环境中由于没有正确的谬误陈诉泄漏了敏感信息，例如：文件夹构造、数据库构造、衔接信息与用户信息。

你是没有心愿用户看到这个的吧？

普通依据你应用的框架或许 CMS ，设置装备摆设办法会有没有同的变动。通常框架具备容许你将站点更改成某种消费环境的设置。这样会将一切用户可见的谬误音讯重定向到日记文件中，并向用户显示非形容性的 500 谬误，同时容许你依据谬误代码反省。

然而你应该依据你的 PHP 环境设置： error_reporting 与 display_errors.

10. 登录限度

像登录这样的敏感表单应该有一个严格的速度限度，以避免暴力攻打。保留每一个用户正在过来几分钟内失败的登录测验考试次数，假如该速度超越你界说的阈值，则回绝进一步登录测验考试，直到冷却期完结。还可经过电子邮件告诉用户登录失败，以便他们晓得本人的账户被成为指标。

一些其余增补

● 没有要信赖从用户通报给你的工具 ID ，始终验证用户对申请工具的拜访权限

● 效劳器与应用的库时辰放弃最新

● 定阅存眷平安相干的博客，理解最新的处理计划

● 从没有正在日记中保留用户的明码

● 没有要将整个代码库存储正在 WEB 根目次中

● 永远没有要正在 WEB 根目次创立 Git 存储库，除了非你心愿泄漏整个代码库

● 始终假定用户的输出是没有平安的

● 设置零碎制止可疑行为的 IP 显示，例如：对象对 URL 随机扫描、爬虫

● 没有要过火信赖第三方代码是平安的

● 没有要用 Composer 间接从 Github 猎取代码

● 假如没有心愿站点被第三方跨域 iframe，请设置反 iframe 标示头

● 含混是没有平安的

● 假如你是缺乏理论经历的经营商或协作开发职员，请确保尽可能时常反省代码

● 当你没有理解平安性能应该若何工作，或许为何会装置，请讯问晓得的人，没有要漠视它

● 永远没有要本人写加密形式，这多是个坏的办法

● 假如你不足够的熵，请正确收获你的伪随机数天生并舍弃

● 假如正在互联网上没有平安，并有可能被盗取信息，请为这类状况做好预备并制订事情呼应方案

● 禁用 WEB 根目次列表显示，不少 WEB 效劳器设置装备摆设默许城市列出目次内容，这可能招致数据泄漏

● 客户端验证是不敷的，需求再次验证 PHP 中的一切内容

● 不吝所有价值防止反序列化用户内容，这可能招致近程代码执行，无关此成绩的具体信息，请参阅此文章：

https://paragonie.com/blog/2016/04/securely-implementing-de-serialization-in-php

小贴士

我没有是一个平安专家，恐无奈做到事无大小。虽然编写平安软件是一个十分苦楚的进程，但仍是能够经过遵照一些根本规定，编写正当平安的使用顺序。其实，不少框架正在这方面也帮咱们做了不少工作。

正在成绩发作以前，平安性成绩其实不像语法谬误等能够正在开发阶段追踪到。因而，正在编写代码的进程中，应该时辰有躲避平安危险的认识。假如你迫于营业需要的压力而不能不临时疏忽一些平安防备的工作，我想你有须要事前奉告各人这样做的潜正在危险。

假如你从这篇文章有所收益，也请把它分享给你的冤家们把，让咱们共建平安网站。

以上就是10 个 PHP 常见平安成绩（实例解说）的具体内容，更多请存眷资源魔其它相干文章！