PHP操作用戶提交內(nèi)容時(shí)需要注意的危險(xiǎn)函數(shù)

對(duì)于我們的程序開(kāi)發(fā)來(lái)說(shuō)，用戶的輸入是解決安全性問(wèn)題的第一大入口。為什么這么說(shuō)呢？不管是SQL注入、XSS還是文件上傳漏洞，全部都和用戶提交的輸入?yún)?shù)有關(guān)。今天我們不講這些問(wèn)題，我們主要探討下面對(duì)用戶的輸入，有一些危險(xiǎn)的函數(shù)在未經(jīng)驗(yàn)證的情況下是不能直接使用這些函數(shù)來(lái)進(jìn)行操作的，比如：

假設(shè)這個(gè) $g 是用戶提交的內(nèi)容，我們?cè)谖唇?jīng)驗(yàn)證的情況下直接使用這個(gè)參數(shù)來(lái)包含文件，我們傳遞的參數(shù)為 ?g=/etc/passwd ，那么服務(wù)器上所有的用戶賬號(hào)信息就很可能就直接泄露了。

另外，一些執(zhí)行 shell 命令的函數(shù)還是極度危險(xiǎn)的。

當(dāng)我們傳遞的參數(shù)是 ?g=ls -la / 時(shí)，同樣的服務(wù)器目錄也展示了出來(lái)，這還僅僅是顯示目錄結(jié)構(gòu)，如果使用其它更恐怖的命令后果將不堪設(shè)想。

同理，我們經(jīng)常會(huì)根據(jù)一些id或指定的文件名來(lái)操作文件，特別是在刪除文件的時(shí)候，如果未加判斷，那么也可能直接去刪除某些非常重要的文件。

我們繼續(xù)將 $g 構(gòu)造為 ?g=../../../xxxx ，如果在權(quán)限允許的情況下，就可以刪除各種系統(tǒng)文件。

對(duì)這些內(nèi)容，其實(shí)在 PHP 的官方手冊(cè)中就已經(jīng)給出了一些很好的建議，我們不妨來(lái)直接看看 PHP 手冊(cè)中是如何說(shuō)的。

很多 PHP 程序所存在的重大弱點(diǎn)并不是 PHP 語(yǔ)言本身的問(wèn)題，而是編程者的安全意識(shí)不高而導(dǎo)致的。因此，必須時(shí)時(shí)注意每一段代碼可能存在的問(wèn)題，去發(fā)現(xiàn)非正確數(shù)據(jù)提交時(shí)可能造成的影響。

必須時(shí)常留意你的代碼，以確保每一個(gè)從客戶端提交的變量都經(jīng)過(guò)適當(dāng)?shù)臋z查，然后問(wèn)自己以下一些問(wèn)題：

• 此腳本是否只能影響所預(yù)期的文件？
• 非正常的數(shù)據(jù)被提交后能否產(chǎn)生作用？
• 此腳本能用于計(jì)劃外的用途嗎？
• 此腳本能否和其它腳本結(jié)合起來(lái)做壞事？
• 是否所有的事務(wù)都被充分記錄了？

還可以考慮關(guān)閉 register_globals，magic_quotes 或者其它使編程更方便但會(huì)使某個(gè)變量的合法性，來(lái)源和其值被搞亂的設(shè)置。在開(kāi)發(fā)時(shí)，可以使用 error_reporting(E_ALL) 模式幫助檢查變量使用前是否有被檢查或被初始化，這樣就可以防止某些非正常的數(shù)據(jù)的撓亂了。

其實(shí)，只要能遵守這些建議，大部分的安全問(wèn)題都能得到解決。還是那句話，不能相信用戶的任何輸出，在測(cè)試的時(shí)候請(qǐng)做好各種驗(yàn)證，包括但不限于邊界值、特殊符號(hào)、特殊命令、越界值、目錄權(quán)限等。在非必要的情況下不要使用用戶的輸入作為包含文件、執(zhí)行腳本及文件操作的直接參數(shù)，如果一定要用的話千萬(wàn)要進(jìn)行各種形式的過(guò)濾驗(yàn)證。

測(cè)試代碼：https://github.com/zhangyue0503/dev-blog/blob/master/php/202003/source/PHP%E6%93%8D%E4%BD%9C%E7%94%A8%E6%88%B7%E6%8F%90%E4%BA%A4%E5%86%85%E5%AE%B9%E6%97%B6%E9%9C%80%E8%A6%81%E6%B3%A8%E6%84%8F%E7%9A%84%E5%8D%B1%E9%99%A9%E5%87%BD%E6%95%B0.php

參考文檔：https://www.php.net/manual/zh/security.variables.php