php常见安全漏洞攻防研究 php common security vulnerabilities research.pdfVIP

／2011年第07期 ■doi：10 3969n．issn．1671—1122．2011．Ot012 刘鹏1，张玉清2 (1．西安电子科技大学教育部计算机网络与信息安全重点实验室，陕西西安710071； 2．中国科学院研究生院国家计算机网络入侵防范中心，北京100049) 摘要：文章总结了PHP脚本中广泛存在的代码注入漏洞及代码执行漏洞，并对其进行了分析。同时 在此基础上提出了预防这些漏洞的方案。最后，针对利用PHP开发安全的web应用程序给出了一定的建议。 关键词：PHP；漏洞；安全编程；w西应用程序 中图分类号：TP393．08文献标识码：A 文章编号：167l—1122(2011)07一0033一04 PHPCommonSecurit、，VrulnerabilitiesResearch LIu Pen91，zHANGY-u—qin分 (1．砀P脚三曲0，c0唧甜幼他“阳麻删坳硎谢fo胛洲嘲矿砌括砂矿尉锄砌珥施加挖确f旧百咖崩锄鼢四谢 ’1蝴1，Chi凇；2讹缸。凇z Co哗H河Ne啪如m批憾i翎Pm把删册CeH姗：GUCAS，Be磬抽g100049．Chi船) Abstract：Thissumm嘶zesme andcodeexecutionvIllnerabilitiesinPHP essay code确ectionⅦlnerabilities schemesonmeseⅦ1nerabilitiesarealsoincludedinthis someadVicesare script．somepreVentiVe papef．Finally onhowtousePHPin secure giVen deVelopingWeb—applications． Key word：PHP：Ⅶlnerabil时；secllr时pmgramdeVelopment；web-application 0引言 PHP(Hypertext 站流量来说，70％以上的访问流量是LAMP来提供的Ⅲ，LAMP是最强大的网站解决方案。 表1是TIoBE s。ft。。，。翻公司2011年对各种语言使用情况的统计结果，结果显示PHPR忑i妻}星兰翼车罢!妻婴 目前还是比较受欢迎的语言。然而，由于PHP对程序开发人员要求很低以及PHPweb应 用程序开发人员的疏忽，导致所开发的PHPweb应用程序存在大量的高风险漏洞，对web 安全造成了很大的威胁。 1 PHP常见安全漏洞及产生原因 本文将以PHP代码注入、文件包含及代码执行漏洞为例对PHPweb应用程序的安全性进行分析。 PHP web常见的安全漏洞出现的原因主要有以下三种： 这些函数在带来方便的同时，又引入了新的风险，具体漏洞实例将在后面的章节中论述。PHP程序中所有的参数输入点p捌如表2所示。 ● 收稿时间：20儿一06—24 教授，博士，主要研究方向：网络与信息系统安全。 万方数据 __________________________— 2011年第07期＼ ● 表2PHP中参数输入点 php?file=data：text／plain，?php 名称