[导入]php表单提交程序的安全

20309

php表单提交程序的安全
最对一个接收自由提交表单数据的文件进行安全性分析，希望对各位有帮助。首先说明一下，代码中的error（）和succeed（）是我自定义的函数，用于显示错误信息和成功信息，其实也可以直接echo出错误信息，这里我只是想我的出错信息页面漂亮点，定义了一个页面输出的函数罢了。
<?php
// savecomment.php// 大家先不要看注释，看完本文后，再回过头来看
require ("config.php");
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
$name=$_POST['name'];
$content=$_POST['content'];
$blogid=$_POST['blogid'];
$datearray=getdate(time());
$date=date("Y-m-d h:i:s",$datearray[0]);
if (!empty($name) && !empty($content)){               
//用empty函数判断表单非空的话则往下。        
if(strlen($name) > 20){         
//通过非空判断则开始判断$name的长度。        
error(&#8220;名字超过20个字节（20个英文或10个汉字）<br>&#8221;);      
}        
f(!is_numeric($_POST['blogid'])){               
error(&#8220;隐藏数据被非法修改过，请返回<br>&#8221;);
        }        
//由于$blogid待会是要放进select的，此变量是用来标示评论是属于哪篇文章，它是int类型，虽说是隐藏变量，但攻击者也是可以在本地修改远程提交的，所以我们在放进select之前需要检查类型。        
$blogsql = "SELECT * FROM $comment_table WHERE blogid=$blogid"        
$blogresult = mysql_db_query($dbname, $blogsql);        
$blog = mysql_fetch_array($blogresult);        
if(strlen($name) == strlen($blog[name]) && strlen($content) == strlen($blog[content])){         
//查询数据库的两个字段的长度，因为名字长度可能相同，但两个都相同正常情况下出现的几率就相当小了，所以用&&同时判断。      
error(&#8220;你欲提交的内容评论里已存在，请返回<br>&#8221;);      
}        
//下面就开始判断时间间隔。更详细的说明请看文章后面内容。        
session_start();         
if(session_is_registered("time") && time()-$_SESSION['time']<60*2){         error(&#8220;对不起,你两次提交的时间间隔还不到2分钟<br>&#8221;);        
} else {        
$sql="INSERT INTO $comment_table(date,name,content,blogid)        VALUES('$date','$name','$content','$blogid')"      
mysql_db_query($dbname,$sql);      
mysql_close();      
$time=time();        
session_register("time");        
succeed(&#8220;评论提交成功<br>&#8221;);   
     }}      
//结束非空的判断
error(&#8220;你没有填写完所有表单<br>&#8221;);
?>
上面是一个记录评论数据的文件。表单如下：
<form action="savecomment.php" method="POST">
<input type="hidden" name="blogid" value="<?=$row[blogid]?>">
您的名字：<input name="name" type="text" size="20" maxlength="100">
评论内容：<textarea name="content" cols="60" rows="8"></textarea>
<input type="submit" name="Submit" value="提交"></form>
一个学习过PHP的人很容易就能看懂上面的代码，但为什么我要拿来分析，因为在我学习PHP期间，看了不少程序的代码，发现有个很普遍的问题，那就是大多数程序对于接受来自于表单的数据做的检查还是不够严谨，这恐怕是程序员思维问题，因为这些安全措施都是很容易实现的。
对于一个简单的评论功能，我们假设它有两个地方是需要用户填写的：评论人的姓名和评论内容。那么，我们需要判断的地方如下：
l        表单是否为空
l        表单长度（该项和上面的项判断称为逻辑性判断，凡事都要符合逻辑）
l        表单内容（判断记录是否存在于数据库内，防止重复提交）
l        隐藏变量的过滤（如果有的话，注意上面表单有一个隐藏变量type="hidden"，这往往容易让人忽略）
l        提交时间间隔（这个是最最容易被忽略的）
逻辑判断很多人都做了，但这仅仅只是解决了程序的逻辑问题，作为安全的程序，我们还要从安全的角度进行判断，一个没有做过安全检查的此类程序，最容易受到以下攻击：
l        修改隐藏变量进行非法提交（比如注入）
l        重复提交（对Web程序进行DoS攻击）
编者注：重复提交所形成的攻击的确是个非常烦人的问题，虽然这种方法没有什么技术性可言，但却会让管理员伤透脑筋，因此很有必要在写代码时就加以防范。
修改隐藏变量通常是在本地构造一个表单，然后指定隐藏变量，如果过滤不到位，直接构造:
1' or 1=1 UNION SELECT * FROM any_table INTO OUTFILE 'c:/www/info.txt
然后提交，会有什么结果不用说了吧？
如果采用POST提交表单后刷新会出现提示，然后确定就可以反复提交，这样可以浪费服务器的资源，如果量大的话站点速度可能会受少许影响，特别是数据量大的搜索引擎。这就是小小表单未做安全过滤的结果，相信任何站点管理员也不想看到吧？所以我们就要进行防御。防御思路如下：
针对隐藏变量我们可以采用过滤，针对重复提交我们可以：
l        采用cookie/session进行提交时间间隔的判断；
l        提交前用strlen()函数判断欲提交的标题和内容是否和数据库里已有的一致；
l        完成提交后用Header("Location: url")；跳转到其他页面
下面我们就对上面的savecomment.php的if代码段进行分析，关于针对修改变量攻击的防御代码大家可以看我在代码上的注释。对于采用cookie/session进行提交时间间隔的判断这两种方法，我有以下看法：
Cookie：信息存在客户端，利用工具可以修改、删除使Cookie失效，因为他是连续发送，中间的间隔时间很短，来不急去删除该Cookie的。但也不排除自己编段小程序来删除Cookie。如果对Cookie不放心可以采用Session。
Session：信息存放在服务器，攻击者不可能修改，但会占用服务器一丁点资源。我的服务器好，我就用Session，放心：）。
下面来看看分别用这两种方式验证的代码：
Cookie：
<?php
if (isset($_COOKIE['beforeid'])) {
error(&#8220;对不起,你两次提交的时间间隔还不到2分钟<br>&#8221;);
} else {
//先检查相关Cookie是否存在，已存在则给出错误提示，不存在则正确执行的代码段，比如插入INSERT语句。执行完毕以后设置一个Cookie，表示已经提交过，60*2表示2分钟。
setcookie("beforeid",$blogid,time()+60*2,"/","",0);
succeed(&#8220;评论提交成功<br>&#8221;); }
?>
Session：
<?php
session_start();
if (session_is_registered("time") && time()-$_SESSION['time']<60*2) {
error(&#8220;对不起,你两次提交的时间间隔还不到2分钟<br>&#8221;);
//$time 前一次提交的时间
} else {
//先检查相关Session是否存在，已存在则给出错误提示，不存在则正确执行的代码段，比如插入INSERT语句。执行完毕以后设置一个Session，表示已经提交过，60*2表示2分钟。
$time=time();
session_register("time");
succeed(&#8220;评论提交成功<br>&#8221;);
}
?>

这种时间间隔的方法可以用于各种表单，比如搜索、留言等，它可以有效地控制程序的有序运行。
至于第三个思路是用Header("Location: url");跳转页面，我想既然加入了cookie/session验证就不必贸然跳转了，毕竟大家还是想看看提交的相关信息的。
怎么样？想不到小小的表单验证有这么大的学问吧？简单几行代码就切断让攻击者的路子，其实这些都很容易的，重要的是开发人员验证的思路，我一个人只会加 cookie/session验证这个思路，结合Envymask的判断长度这条思路，我又掌握一点。其实开发安全的程序，安全措施的思路很重要，即使掌握各种防御代码，但如果考虑不严谨，照样有空子可钻。
鄙人刚学PHP不到半个月。写的代码不够规范、严谨，在各位高手面前班门弄斧了。
后记：一个小小的程序，已经折射出了一些普遍存在的安全问题。在安全代码的编写过程中，仅仅注意以上问题还是远远不够的，不过很多重大脚本漏洞的出现却都是因为这种小问题引起的。平时可以看到，在一个脚本程序出现漏洞之后，往往一两句代码就可以将相关漏洞补得很严实了。脚本攻防是智者之间的较量，但是智者千虑，必有一失，所以相对于攻击来说，防范要做到滴水不漏就显得尤为困难。


bestmost 2008-07-02 14:45 发表评论
文章来源:http://www.phpweblog.net/fuyongjie/archive/2008/07/02/5263.html