PHP开发不能违背的安全规则 过滤用户输入
page
}
//we create an object of a fictional class Page, which is now
//moderately protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>
需 要做的只是使用 strlen() 检查变量的长度是否非零;如果是,就使用一个全数字正则表达式来确保数据元素是有效的。如果 PID 包含字母、斜线、点号或任何与十六进制相似的内容,那么这个例程捕获它并将页面从用户活动中屏蔽。如果看一下 Page 类幕后的情况,就会看到有安全意识的 PHP 开发人员已经对用户输入 $pid 进行了转义,从而保护了 fetchPage() 方法,如下所示:
清单 11. 对 fetchPage() 方法进行转义
复制代码 代码如下:
<?php
class Page{
function fetchPage($pid){
$sql = “select pid,title,desc,kw,content,status from page where pid=''”.mysql_real_escape_string($pid).”''”;
}
}
?>
您可能会问,“既然已经确保 PID 是数字,那么为什么还要进行转义?” 因为不知道在多少不同的上下文和情况中会使用 fetchPage() 方法。必须在调用这个方法的所有地方进行保护,而方法中的转义体现了纵深防御的意义。
如 果用户尝试输入非常长的数值,比如长达 1000 个字符,试图发起缓冲区溢出攻击,那么会发生什么呢?下一节更详细地讨论这个问题,但是目前可以添加另一个检查,确保输入的 PID 具有正确的长度。您知道数据库的 pid 字段的最大长度是 5 位,所以可以添加下面的检查。
清单 12. 使用正则表达式和长度检查来限制 GET 变量
复制代码 代码如下:
<?php
$pid =PHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
GET[''pid''];
if (strlen($pid)){
if (!ereg(”^[0-9]+$”,$pid) && strlen($pid) > 5){
//do something appropriate, like maybe logging them out or sending them back to home page
}
} else {
//empty $pid, so send them back to the home page
}
//we create an object of a fictional class Page, which is now
//even more protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>
现在,任何人都无法在数据库应用程序中塞进一个 5,000 位的数值 —— 至少在涉及 GET 字符串的地方不会有这种情况。想像一下黑客在试图突破您的应用程序而遭到挫折时咬牙切齿的样子吧!而且因为关闭了错误报告,黑客更难进行侦察。
缓冲区溢出攻击
缓冲区溢出攻击 试图使 PHP 应用程序中(或者更精确地说,在 Apache 或底层操作系统中)的内存分配缓冲区发生溢出。请记住,您可能是使用 PHP 这样的高级语言来编写 Web 应用程序,但是最终还是要调用 C(在 Apache 的情况下)。与大多数低级语言一样,C 对于内存分配有严格的规则。
缓冲区溢出攻击向缓冲区发送大量数据,使部分数据溢出到相邻的内存缓冲区,从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。
防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。例如,如果有一个表单元素要求输入用户的名字,那么在这个域上添加值为 40 的 maxlength 属性,并在后端使用 substr() 进行检查。清单 13 给出表单和 PHP 代码的简短示例。
清单 13. 检查用户输入的长度
复制代码 代码如下:
<?php
if (PHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
POST[''submit''] == “go”){
$name = substr(PHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
POST[''name''],0,40);
}
?>
<form action=”<?php echoPHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
SERVER[''PHP_SELF''];?>” method=”post”>
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” siz
}
//we create an object of a fictional class Page, which is now
//moderately protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>
需 要做的只是使用 strlen() 检查变量的长度是否非零;如果是,就使用一个全数字正则表达式来确保数据元素是有效的。如果 PID 包含字母、斜线、点号或任何与十六进制相似的内容,那么这个例程捕获它并将页面从用户活动中屏蔽。如果看一下 Page 类幕后的情况,就会看到有安全意识的 PHP 开发人员已经对用户输入 $pid 进行了转义,从而保护了 fetchPage() 方法,如下所示:
清单 11. 对 fetchPage() 方法进行转义
复制代码 代码如下:
<?php
class Page{
function fetchPage($pid){
$sql = “select pid,title,desc,kw,content,status from page where pid=''”.mysql_real_escape_string($pid).”''”;
}
}
?>
您可能会问,“既然已经确保 PID 是数字,那么为什么还要进行转义?” 因为不知道在多少不同的上下文和情况中会使用 fetchPage() 方法。必须在调用这个方法的所有地方进行保护,而方法中的转义体现了纵深防御的意义。
如 果用户尝试输入非常长的数值,比如长达 1000 个字符,试图发起缓冲区溢出攻击,那么会发生什么呢?下一节更详细地讨论这个问题,但是目前可以添加另一个检查,确保输入的 PID 具有正确的长度。您知道数据库的 pid 字段的最大长度是 5 位,所以可以添加下面的检查。
清单 12. 使用正则表达式和长度检查来限制 GET 变量
复制代码 代码如下:
<?php
$pid =
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
if (strlen($pid)){
if (!ereg(”^[0-9]+$”,$pid) && strlen($pid) > 5){
//do something appropriate, like maybe logging them out or sending them back to home page
}
} else {
//empty $pid, so send them back to the home page
}
//we create an object of a fictional class Page, which is now
//even more protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>
现在,任何人都无法在数据库应用程序中塞进一个 5,000 位的数值 —— 至少在涉及 GET 字符串的地方不会有这种情况。想像一下黑客在试图突破您的应用程序而遭到挫折时咬牙切齿的样子吧!而且因为关闭了错误报告,黑客更难进行侦察。
缓冲区溢出攻击
缓冲区溢出攻击 试图使 PHP 应用程序中(或者更精确地说,在 Apache 或底层操作系统中)的内存分配缓冲区发生溢出。请记住,您可能是使用 PHP 这样的高级语言来编写 Web 应用程序,但是最终还是要调用 C(在 Apache 的情况下)。与大多数低级语言一样,C 对于内存分配有严格的规则。
缓冲区溢出攻击向缓冲区发送大量数据,使部分数据溢出到相邻的内存缓冲区,从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。
防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。例如,如果有一个表单元素要求输入用户的名字,那么在这个域上添加值为 40 的 maxlength 属性,并在后端使用 substr() 进行检查。清单 13 给出表单和 PHP 代码的简短示例。
清单 13. 检查用户输入的长度
复制代码 代码如下:
<?php
if (
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
$name = substr(
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
}
?>
<form action=”<?php echo
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” siz