用PHP书写安全的脚本代码

2024-05-04 22:05:30

字体：大中小

来源：转载

供稿：网友

在PHP 4.2中，他们取消了那种老的做法！正如我将在这篇文章中解释的那样，作出这样的变化的目的是出于安全性的考虑。我们将研究PHP在处理表单提交及其它数据时的新的做法，并说明为什么这样做会提高代码的安全性。

这里有什么错误？

看看下面的这段PHP脚本，它用来在输入的用户名及口令正确时授权访问一个Web页面：
代码如下:
<?php
// 检查用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>

<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>

<?php endif; ?>

OK，我相信大约半数的读者会不屑的说“太愚蠢了-- 我不会犯这样的错误的！”但是我保证有很多的读者会想“嗨，没什么问题啊，我也会这么写的！”当然还会有少数人会对这个问题感到困惑(“什么是PHP？”)。PHP被设计为一个“好的而且容易的”脚本语言，初学者可以在很短的时间内学会使用它；它也应该能够避免初学者犯上面的错误。
再回到刚才的问题，上面的代码中存在的问题是你可以很容易地获得访问的权力，而不需要提供正确的用户名和口令。只在要你的浏览器的地址栏的最后添加?authorized=1。因为PHP会自动地为每一个提交的值创建一个变量 -- 不论是来自动一个提交的表单、URL查询字符串还是一个cookie -- 这会将$authorized设置为1，这样一个未授权的用户也可以突破安全限制。
那么，怎么简单地解决这个问题呢？只要在程序的开头将$authorized默认设置为false。这个问题就不存在了！$authorized是一个完全在程序代码中创建的变量；但是为什么开发者得为每一个恶意的用户提交的变量担心呢？

PHP 4.2作了什么改变？

在PHP 4.2中，新安装的PHP中的register_globals选项默认为关闭，因此EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中外部变量来源的全部范围)不会被作为全局变量来创建。当然，这个选项还可以通过手工来开启，但是PHP的开发者推荐你将其关闭。要贯彻他们的意图，你需要使用其它的方法来获取这些值。
从PHP 4.1开始，EGPCS值就可以从一组指定的数组中获得：
$_ENV -- 包含系统环境变量
$_GET -- 包含查询字符串中的变量，以及提交方法为GET的表单中的变量
$_POST -- 包含提交方式为POST的表单中的变量

上一篇：PHP投票系统防刷票判断流程分析

下一篇：php 网上商城促销设计实例代码