PHP开发不能违背的安全规则 过滤用户输入
e=”20″ maxlength=”40″/></p>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
为 什么既提供 maxlength 属性,又在后端进行 substr() 检查?因为纵深防御总是好的。浏览器防止用户输入 PHP 或 MySQL 不能安全地处理的超长字符串(想像一下有人试图输入长达 1,000 个字符的名称),而后端 PHP 检查会确保没有人远程地或者在浏览器中操纵表单数据。
正如您看到的,这种方式与前一节中使用 strlen() 检查 GET 变量 pid 的长度相似。在这个示例中,忽略长度超过 5 位的任何输入值,但是也可以很容易地将值截短到适当的长度,如下所示:
清单 14. 改变输入的 GET 变量的长度
复制代码 代码如下:
<?php
$pid =PHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
GET[''pid''];
if (strlen($pid)){
if (!ereg(”^[0-9]+$”,$pid)){
//if non numeric $pid, send them back to home page
}
}else{
//empty $pid, so send them back to the home page
}
//we have a numeric pid, but it may be too long, so let''s check
if (strlen($pid)>5){
$pid = substr($pid,0,5);
}
//we create an object of a fictional class Page, which is now
//even more protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>
注 意,缓冲区溢出攻击并不限于长的数字串或字母串。也可能会看到长的十六进制字符串(往往看起来像 \xA3 或 \xFF)。记住,任何缓冲区溢出攻击的目的都是淹没特定的缓冲区,并将恶意代码或指令放到下一个缓冲区中,从而破坏数据或执行恶意代码。对付十六进制缓 冲区溢出最简单的方法也是不允许输入超过特定的长度。
如果您处理的是允许在数据库中输入较长条目的表单文本区,那么无法在客户端轻松地限制数据的长度。在数据到达 PHP 之后,可以使用正则表达式清除任何像十六进制的字符串。
清单 15. 防止十六进制字符串
复制代码 代码如下:
<?php
if (PHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
POST[''submit''] == “go”){
$name = substr(PHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
POST[''name''],0,40);
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing….
}
function cleanHex($input){
$clean = preg_replace(”![\][xX]([A-Fa-f0-9]{1,3})!”, “”,$input);
return $clean;
}
?>
<form action=”<?php echoPHP开发不能违背的安全规则 过滤用户输入_网学
· PHP 5.0中多态性的实现方案浅析
· 在PHP中实现重载构造函数的方法
· 详解PHP的面向对象编程
· ZendStudio for Eclipse 调试入门篇
· PHP面向对象程序设计的61条黄金法则
· php面向对象oop
· php操作文件型数据库SQLite
· php+mysql分页处理的探讨
· PHP中使用FCKeditor
· PHP中使用FCKeditor2.3.2配置
· 在php中使用FCKeditor2.4.2
· 织梦dedecms从底层标签实现二级菜单
· iis下php无法找到该页 的错误解决
· PHP V5.3 中的新特性: 名称空间
· IIS下PHP的ISAPI和FastCGI比较
· PHP开发框架的现状和展望
· 优化PHP代码的40条建议
· PHP MVC架构下的一些流行框架...
SERVER[''PHP_SELF''];?>” method=”post”>
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” size=”20″ maxlength=”40″/></p>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
您 可能会发现这一系列操作有点儿太严格了。毕竟,十六进制串有合法的用途,比如输出外语中的字符。如何部署十六进制 regex 由您自己决定。比较好的策略是,只有在一行中包含过多十六进制串时,或者字符串的字符超过特定数量(比如 128 或 255)时,才删除十六进制串。
跨站点脚本攻击
在跨站点脚本(XSS)攻击中,往往有一个恶意用户在表单中(或通过其他用户输入方式)输入信息,这些输入将恶 意的客户端标记插入过程或数据库中。例如,假设站点上有一个简单的来客登记簿程序,让访问者能够留下姓名、电子邮件地址和简短的消息。恶意用户可以利用这 个机会插入简短消息之外的东西,比如对于其他用户不合适的图片或将用户重定向到另一个站点的 Javascrīpt,或者窃取 cookie 信息。
幸运的是,PHP 提供了 strip_tags() 函数,这个函数可以清除任何包围在 HTML 标记中的内容。strip_tag
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
为 什么既提供 maxlength 属性,又在后端进行 substr() 检查?因为纵深防御总是好的。浏览器防止用户输入 PHP 或 MySQL 不能安全地处理的超长字符串(想像一下有人试图输入长达 1,000 个字符的名称),而后端 PHP 检查会确保没有人远程地或者在浏览器中操纵表单数据。
正如您看到的,这种方式与前一节中使用 strlen() 检查 GET 变量 pid 的长度相似。在这个示例中,忽略长度超过 5 位的任何输入值,但是也可以很容易地将值截短到适当的长度,如下所示:
清单 14. 改变输入的 GET 变量的长度
复制代码 代码如下:
<?php
$pid =
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
if (strlen($pid)){
if (!ereg(”^[0-9]+$”,$pid)){
//if non numeric $pid, send them back to home page
}
}else{
//empty $pid, so send them back to the home page
}
//we have a numeric pid, but it may be too long, so let''s check
if (strlen($pid)>5){
$pid = substr($pid,0,5);
}
//we create an object of a fictional class Page, which is now
//even more protected from evil user input
$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page
?>
注 意,缓冲区溢出攻击并不限于长的数字串或字母串。也可能会看到长的十六进制字符串(往往看起来像 \xA3 或 \xFF)。记住,任何缓冲区溢出攻击的目的都是淹没特定的缓冲区,并将恶意代码或指令放到下一个缓冲区中,从而破坏数据或执行恶意代码。对付十六进制缓 冲区溢出最简单的方法也是不允许输入超过特定的长度。
如果您处理的是允许在数据库中输入较长条目的表单文本区,那么无法在客户端轻松地限制数据的长度。在数据到达 PHP 之后,可以使用正则表达式清除任何像十六进制的字符串。
清单 15. 防止十六进制字符串
复制代码 代码如下:
<?php
if (
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
$name = substr(
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing….
}
function cleanHex($input){
$clean = preg_replace(”![\][xX]([A-Fa-f0-9]{1,3})!”, “”,$input);
return $clean;
}
?>
<form action=”<?php echo
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” size=”20″ maxlength=”40″/></p>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
您 可能会发现这一系列操作有点儿太严格了。毕竟,十六进制串有合法的用途,比如输出外语中的字符。如何部署十六进制 regex 由您自己决定。比较好的策略是,只有在一行中包含过多十六进制串时,或者字符串的字符超过特定数量(比如 128 或 255)时,才删除十六进制串。
跨站点脚本攻击
在跨站点脚本(XSS)攻击中,往往有一个恶意用户在表单中(或通过其他用户输入方式)输入信息,这些输入将恶 意的客户端标记插入过程或数据库中。例如,假设站点上有一个简单的来客登记簿程序,让访问者能够留下姓名、电子邮件地址和简短的消息。恶意用户可以利用这 个机会插入简短消息之外的东西,比如对于其他用户不合适的图片或将用户重定向到另一个站点的 Javascrīpt,或者窃取 cookie 信息。
幸运的是,PHP 提供了 strip_tags() 函数,这个函数可以清除任何包围在 HTML 标记中的内容。strip_tag