Le filtrage est le fondement de la sécurité des applications Web. C'est le processus par lequel vous vérifiez la légitimité de vos données. En vous assurant que toutes les données sont filtrées lors de leur entrée, vous pouvez empêcher que des données corrompues (non filtrées) ne soient méfiantes et utilisées à mauvais escient dans votre programme. La plupart des vulnérabilités des applications PHP populaires résultent en fin de compte d’une mauvaise vérification des entrées.
Ce que j'entends par filtrage des entrées, ce sont trois étapes distinctes :
l Reconnaître l'entrée
l Filtrer l'entrée
l Distinguer les données filtrées et contaminées
La raison pour laquelle vous identifiez l'entrée comme première étape est que si vous ne savez pas de quoi il s'agit, vous ne pouvez pas la filtrer correctement. L'entrée fait référence à toutes les données provenant de l'extérieur. Par exemple, tout ce qui est envoyé par le client est saisi, mais le client n'est pas la seule source de données externe, d'autres sources telles que les bases de données et les flux RSS sont également des sources de données externes.
Les données saisies par l'utilisateur sont très faciles à identifier. PHP utilise deux tableaux super publics $_GET. et $_POST pour stocker les données saisies par l'utilisateur. D'autres entrées sont beaucoup plus difficiles à identifier ; par exemple, de nombreux éléments du tableau $_SERVER sont manipulés par le client. Il est souvent difficile de déterminer quels éléments du tableau $_SERVER constituent l'entrée, la meilleure approche consiste donc à traiter l'intégralité du tableau comme une entrée.
Dans certains cas, ce que vous donnez en entrée dépend de votre point de vue. Par exemple, les données de session sont stockées sur le serveur et vous ne pouvez pas considérer les données de session comme une source de données externe. Si vous détenez cette vue, vous pouvez enregistrer les données de session dans votre logiciel. Il est sage de réaliser que la sécurité de l'emplacement de la session est liée à la sécurité du logiciel. La même idée peut être étendue à la base de données, vous pouvez également la considérer comme faisant partie de votre logiciel.
De manière générale, il est plus sûr de traiter les emplacements de sauvegarde de session et les bases de données comme entrées, et c'est ce que je recommande dans tout développement d'application PHP important.
Une fois l'entrée reconnue, vous pouvez la filtrer. La filtration est un terme quelque peu formel qui possède de nombreux synonymes dans des expressions quotidiennes, telles que vérification, nettoyage et purification. Bien que ces termes soient légèrement différents, ils font tous référence au même processus : empêcher les données illégales de pénétrer dans votre candidature.
Il existe de nombreuses façons de filtrer les données, dont certaines sont plus sécurisées. La meilleure façon est de considérer le filtrage comme un processus d’inspection. N'essayez pas de corriger les données illégales avec de bonnes intentions. Laissez vos utilisateurs suivre vos règles. L'histoire a prouvé que tenter de corriger des données illégales conduit souvent à des failles de sécurité. Par exemple, considérons l'approche suivante qui tente d'empêcher l'extension du répertoire (accès au répertoire supérieur).
CODE :
<?php $filename = str_replace('..', '.', $_POST['filename']); ?>
Pouvez-vous penser à la façon dont $_POST['filename'] devrait être défini pour que $filename devienne le chemin d'accès au fichier de mot de passe utilisateur dans le système Linux ../../etc/passwd ?
La réponse est simple :
.../.../etc/passwd
Cette erreur spécifique peut être remplacée à plusieurs reprises jusqu'à ce qu'elle ne soit plus trouvée :
CODE :
<?php $filename = $_POST['filename']; while (strpos($_POST['filename'], '..') != = FALSE) { $filename = str_replace('..', '.', $filename); } ?>
Bien entendu, la fonction basename( ) peut remplacer toute la logique ci-dessus et atteindre l’objectif de manière plus sûre. Le point important, cependant, est que toute tentative de correction de données illégales peut conduire à des erreurs potentielles et laisser passer des données illégales. Le simple fait de vérifier est une option plus sûre.
译注:这一点深有体会,在实际项目曾经遇到过这样一件事,是对一个用户注册和登录系统进行更改,客户希望用户名前后有空格就不能登录,结果修改时对用户登录程序进行了更改,用trim()函数把输入的用户名前后的空格去掉了(典型的好心办坏事),但是在注册时居然还是允许前后有空格!结果可想而知。
除了把过滤做为一个检查过程之外,你还可以在可能时用白名单方法。它是指你需要假定你正在检查的数据是非法的,除非你能证明它是合法的。换而言之,你宁可在小心上犯错。使用这个方法,一个错误只会导致你把合法的数据当成是非法的。尽管不想犯任何错误,但这样总比把非法数据当成合法数据要安全得多。通过减轻犯错引起的损失,你可以提高你的应用的安全性。尽管这个想法在理论上是很自然的,但历史证明,这是一个很有价值的方法。
如果你能正确可靠地识别和过滤输入,你的工作就基本完成了。最后一步是使用一个命名约定或其它可以帮助你正确和可靠地区分已过滤和被污染数据的方法。我推荐一个比较简单的命名约定,因为它可以同时用在面向过程和面向对象的编程中。我用的命名约定是把所有经过滤的数据放入一个叫$clean的数据中。你需要用两个重要的步骤来防止被污染数据的注入:
l 经常初始化$clean为一个空数组。
l 加入检查及阻止来自外部数据源的变量命名为clean,
实际上,只有初始化是至关紧要的,但是养成这样一个习惯也是很好的:把所有命名为clean的变量认为是你的已过滤数据数组。这一步骤合理地保证了$clean中只包括你有意保存进去的数据,你所要负责的只是不在$clean存在被污染数据。
为了巩固这些概念,考虑下面的表单,它允许用户选择三种颜色中的一种;
CODE:
<form action="process.php" method="POST"> Please select a color: <select name="color"> <option value="red">red</option> <option value="green">green</option> <option value="blue">blue</option> </select> <input type="submit" /> </form>
在处理这个表单的编程逻辑中,非常容易犯的错误是认为只能提交三个选择中的一个。在第二章中你将学到,客户端能提交任何数据作为$_POST['color']的值。为了正确地过滤数据,你需要用一个switch语句来进行:
CODE:
<?php $clean = array( ); switch($_POST['color']) { case 'red': case 'green': case 'blue': $clean['color'] = $_POST['color']; break; } ?>
本例中首先初始化了$clean为空数组以防止包含被污染的数据。一旦证明$_POST['color']是red, green, 或blue中的一个时,就会保存到$clean['color']变量中。因此,可以确信$clean['color']变量是合法的,从而在代码的其它部分使用它。当然,你还可以在switch结构中加入一个default分支以处理非法数据的情况。一种可能是再次显示表单并提示错误。特别小心不要试图为了友好而输出被污染的数据。
上面的方法对于过滤有一组已知的合法值的数据很有效,但是对于过滤有一组已知合法字符组成的数据时就没有什么帮助。例如,你可能需要一个用户名只能由字母及数字组成:
CODE:
<?php $clean = array( ); if (ctype_alnum($_POST['username'])) { $clean['username'] = $_POST['username']; } ?>
尽管在这种情况下可以用正则表达式,但使用PHP内置函数是更完美的。这些函数包含错误的可能性要比你自已写的代码出错的可能性要低得多,而且在过滤逻辑中的一个错误几乎就意味着一个安全漏洞。
以上就是PHP安全-过滤输入的内容,更多相关内容请关注PHP中文网(m.sbmmt.com)!