php安全编码规范v0.1.docVIP

PHP安全编码规范 金山软件· KS信息安全组 本文档修订历史： 版本号 修订人 修订说明 0.1张昊 新建 目录 PHP安全编码规范 1 1.SQL注入 3 1.1成因 3 1.2错误写法 4 1.3漏洞效果 4 1.4防御 5 2.XSS跨站脚本 6 2.1成因 6 2.2错误写法 6 2.3漏洞效果 6 2.4防御 8 3.任意文件上传 11 3.1成因 11 3.2错误写法 11 3.3漏洞效果 11 3.4防御 12 4.任意文件读取/下载 13 4.1成因 13 4.2错误写法 13 4.3漏洞效果 14 4.4防御 14 5.文件包含漏洞 14 5.1成因 14 5.2错误写法 15 5.3漏洞效果 15 5.4防御 15 6.代码执行 16 6.1成因 16 6.2错误写法 16 6.3漏洞效果 17 6.4防御 18 7.跨站点请求伪造 18 7.1成因 18 7.2错误写法 18 7.3漏洞效果 19 7.4防御 20 8.URL重定向 21 8.1成因 21 8.2错误写法 21 8.3漏洞效果 21 8.4防御 21 1.SQL注入 1.1成因 把客户端提交参数传入到数据库并进行查询等操作时，没有对传入参数进行安全处理或处理不完善，导致恶意SQL语句被执行。 1.2错误写法 $id=$_GET[id]; $query = select * from news where id = $id ; 通过get方式获取到的id值赋值给$id,未进行有效的安全处理，产生漏洞 如果提交id=123 and 1=2 union select 1,username,passwd,4,5 from admin sql语句即变成 select * from news where id = 123 and 1=2 union select 1,username,passwd,4,5 from admin 即可查询出admin表username与passwd字段内容 1.3漏洞效果 获取系统管理员账户 利用load_file()读取系统文件 1.4防御 1.对用户的输入进行安全过滤，验证数据类型，数据长度，数据内容 ctype_*,is_*,strlen,intval 整型：$id=intval($_GET[id]); 字符型：结合具体环境，比如正常的字符串长度不超过5，那么通过strlen判断变量长度，超过5则break，如果正常变量值仅存在字母和数字，那么可通过ctype_alnum判断变量值是否正确 2.使用prepare对sql语句进行参数化 3.配置文件中，修改display_errors=off 4.永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号 2.XSS跨站脚本 2.1成因 对用户输入的内容过滤不严格并输出到页面中，导致输入恶意HTML语句或javascript脚本在页面中执行。 2.2错误写法 echo $_GET[title]; 直接输出get方式获取到的title值，未进行有效的安全处理，产生漏洞 2.3漏洞效果 普通get型跨站 利用跨站获取管理员cookie，referer等信息 使用获取到的管理员cookie登陆后台 2.4防御 1.结合具体环境，验证用户输入的数据类型，数据长度，数据内容 如果数据类型为整型，则使用intval强制转换变量类型 如果正常的字符串长度不超过10，那么通过strlen判断变量长度，超过10则break 如果数据内容为邮箱，则应使用正则取A-Za-z0-9.@-_范围内的值，其它字符则忽略掉 2.数据在html标签之间或在普通属性值(如value,width等,style,on*事件等除外)时，数据库保存时如果对符号无完整性要求则在输入时使用htmlspecialchars函数对变量过滤处理 如：htmlspecialchars($a,ENT_QUOTES)默认不转义，所以需要添加ENT_QUOTES参数 3.数据在html标签之间或在普通属性值(如value,width等,src,style,on*事件等除外)时，数据库保存时如果需要符号的完整性，则在输出时使用htmlspecialchars函数对变量过滤处理，但要严格过滤每一处输出点 4.当数据在script标签中时，整型变量直接使用intval处理，非整型变量使用addslashes函数处理 5.当数据在html标签内on*事件属性中时,需使用htmlspecialchars(addslashes($a),ENT_QUOTES)进行双重过滤 6.当数据在html标签中src属性中时，需要过滤javascript伪协议