php应用程序安全防范技术研究

前言
　　比特网专家特稿：关于PHP应用程序的安全，我们往往容易疏忽，或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序，仅供大家参考。

　　PHP安全防范程序模型

　　/* PHP防注入跨站V1.0

　　在您的页面顶部添加: require(“menzhi_injection.php”);

　　即可实现通用防止SQL注入，以及XSS跨站漏洞。

　　##################缺陷以及改进##################

　　程序还有很多缺陷，希望大家能帮助改进

　　##################参考以及鸣谢##################

　　Neeao'ASP SQL通用防注入程序 V3.0

　　部分代码参考自Discuz!

　　*/

　　error_reporting(0);

　　define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());

　　$menzhi_injection="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|or|char|declare";

　　$menzhi_injection = explode("|",$menzhi_injection);

　　foreach(array('_GET', '_POST', '_COOKIE','_REQUEST') as $_request) {

　　foreach($$_request as $_key => $_value) {

　　//$_value = strtolower($_value);

　　$_key{0} != '_' && $$_key = daddslashes($_value);

　　foreach($menzhi_injection as $kill_key => $kill_value) {

　　if(substr_count($_value,$kill_value)>0) {

　　echo "";

　　unset($_value);

　　exit();

　　}

　　}

　　//echo "

　　".$_value;

　　}

　　}

　　function daddslashes($string) {

　　if(!MAGIC_QUOTES_GPC) {

　　if(is_array($string)) {

　　foreach($string as $key => $val) {

　　$string[$key] = daddslashes($val);

　　}

　　} else {

　　$string = addslashes($string);

　　}

　　}

　　$string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1',str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string));

　　return $string;

　　}

　　?>

　　使用说明

　　在您的页面顶部添加：“require(“menzhi_injection.php”);” ， 即可实现通用防止SQL注入，以及XSS跨站漏洞。调用本程序，我们使用require() 而不使用include() ，因为require()调用文件如果出错，将终止程序运行，include()并不理会。并且require()调用文件时，程序一运行，会先调用外本文件。而inculde()则是运行到该行时才开始执行。基于函数特性，我们选择require()。 您还可以根据实际需要自行增加或者删除$menzhi_injection变量中的过滤字符，来达到更好的防御效果。 再者您可以自行修改代码，或许会有有意外收获。普通注射都可以防御，以下测试仅供调侃，下面是对一句话木马的测试效果：

　　嘿嘿，动心了就在您的页面顶部调用吧。记住是“require(“menzhi_injection.php”);”哦。这只是提起大家兴趣的噱头，请自行测试吧。

　　缺陷以及待改进

　　由于此程序只是外部调用，只是处理了外部提交的变量，并没有对您的应用程序作系统分析，所以存在很多局限性，请谨慎使用。 对于使用GBK编码的程序，还存在双字节编码漏洞风险，本程序虽然可以处理该漏洞。但遏制这些漏洞，还是需要从根源做起。需要处理数据库连接文件，我们可以添加 character_set_client=binary 。Discuz!7.0的数据库连接类db_mysql.class.php写的就非常不错，大家可以参考借鉴。当然这些并不是这个小程序所能涉及到的范畴。

　　而且此程序并没有过滤 $_SERVER $_ENV $_FILES系统变量。比如对于$_SERVER['HTTP_X_FORWARDED_FOR']系统获取IP时，黑客可以通过劫持修改HTTP原始请求包来更改其值，本程序是可以处理这些漏洞。但是作为程序员我们需要的是从根源就对外部变量处理，防患于未然，未雨绸缪吧。

　　程序很潦草，欢迎大家测试使用，有什么意见建议直接联系我吧。

　　结束语

　　最后祝大家学习有成，工作顺利，向所有辛勤工作的PHPers致敬。