PHP安全-輸出轉(zhuǎn)義
另外一個Web應(yīng)用安全的基礎(chǔ)是對輸出進行轉(zhuǎn)義或?qū)μ厥庾址M行編碼,以保證原意不變。例如,O’Reilly在傳送給MySQL數(shù)據(jù)庫前需要轉(zhuǎn)義成O’Reilly。單引號前的反斜杠代表單引號是數(shù)據(jù)本身的一部分,而不是并不是它的本義。
我所指的輸出轉(zhuǎn)義具體分為三步:
l識別輸出
l輸出轉(zhuǎn)義
l區(qū)分已轉(zhuǎn)義與未轉(zhuǎn)義數(shù)據(jù)
只對已過濾數(shù)據(jù)進行轉(zhuǎn)義是很有必要的。盡管轉(zhuǎn)義能防止很多常見安全漏洞,但它不能替代輸入過濾。被污染數(shù)據(jù)必須首先過濾然后轉(zhuǎn)義。
在對輸出進行轉(zhuǎn)義時,你必須先識別輸出。通常,這要比識別輸入簡單得多,因為它依賴于你所進行的動作。例如,識別到客戶端的輸出時,你可以在代碼中查找下列語句:
echo
printf
<?=
作為一項應(yīng)用的開發(fā)者,你必須知道每一個向外部系統(tǒng)輸出的地方。它們構(gòu)成了輸出。
象過濾一樣,轉(zhuǎn)義過程在依情形的不同而不同。過濾對于不同類型的數(shù)據(jù)處理方法也是不同的,轉(zhuǎn)義也是根據(jù)你傳輸信息到不同的系統(tǒng)而采用不同的方法。
對于一些常見的輸出目標(biāo)(包括客戶端、數(shù)據(jù)庫和URL)的轉(zhuǎn)義,PHP中有內(nèi)置函數(shù)可用。如果你要寫一個自己算法,做到萬無一失很重要。需要找到在外系統(tǒng)中特殊字符的可靠和完整的列表,以及它們的表示方式,這樣數(shù)據(jù)是被保留下來而不是轉(zhuǎn)譯了。
最常見的輸出目標(biāo)是客戶機,使用htmlentities( )在數(shù)據(jù)發(fā)出前進行轉(zhuǎn)義是最好的方法。與其它字符串函數(shù)一樣,它輸入是一個字符串,對其進行加工后進行輸出。但是使用htmlentities( )函數(shù)的最佳方式是指定它的兩個可選參數(shù):引號的轉(zhuǎn)義方式(第二參數(shù))及字符集(第三參數(shù))。引號的轉(zhuǎn)義方式應(yīng)該指定為ENT_QUOTES,它的目的是同時轉(zhuǎn)義單引號和雙引號,這樣做是最徹底的,字符集參數(shù)必須與該頁面所使用的字符集相必配。
為了區(qū)分?jǐn)?shù)據(jù)是否已轉(zhuǎn)義,我還是建議定義一個命名機制。對于輸出到客戶機的轉(zhuǎn)義數(shù)據(jù),我使用$html數(shù)組進行存儲,該數(shù)據(jù)首先初始化成一個空數(shù)組,對所有已過濾和已轉(zhuǎn)義數(shù)據(jù)進行保存。
CODE:
<?php
$html = array( );
$html[’username’] = htmlentities($clean[’username’], ENT_QUOTES, ’UTF-8’);
echo '<p>Welcome back, {$html[’username’]}.</p>';
?>
小提示
htmlspecialchars( )函數(shù)與htmlentities( )函數(shù)基本相同,它們的參數(shù)定義完全相同,只不過是htmlentities( )的轉(zhuǎn)義更為徹底。
通過$html[’username’]把username輸出到客戶端,你就可以確保其中的特殊字符不會被瀏覽器所錯誤解釋。如果username只包含字母和數(shù)字的話,實際上轉(zhuǎn)義是沒有必要的,但是這體現(xiàn)了深度防范的原則。轉(zhuǎn)義任何的輸出是一個非常好的習(xí)慣,它可以戲劇性地提高你的軟件的安全性。
另外一個常見的輸出目標(biāo)是數(shù)據(jù)庫。如果可能的話,你需要對SQL語句中的數(shù)據(jù)使用PHP內(nèi)建函數(shù)進行轉(zhuǎn)義。對于MySQL用戶,最好的轉(zhuǎn)義函數(shù)是mysql_real_escape_string( )。如果你使用的數(shù)據(jù)庫沒有PHP內(nèi)建轉(zhuǎn)義函數(shù)可用的話,addslashes( )是最后的選擇。
下面的例子說明了對于MySQL數(shù)據(jù)庫的正確的轉(zhuǎn)義技巧:
CODE:
<?php
$mysql = array( );
$mysql[’username’] = mysql_real_escape_string($clean[’username’]);
$sql = 'SELECT *
FROM profile
WHERE username = ’{$mysql[’username’]}’';
$result = mysql_query($sql);
?>
相關(guān)文章:
1. XML在語音合成中的應(yīng)用2. HTTP協(xié)議常用的請求頭和響應(yīng)頭響應(yīng)詳解說明(學(xué)習(xí))3. ASP基礎(chǔ)入門第四篇(腳本變量、函數(shù)、過程和條件語句)4. .NET Framework各版本(.NET2.0 3.0 3.5 4.0)區(qū)別5. jscript與vbscript 操作XML元素屬性的代碼6. XML入門的常見問題(三)7. HTML5實戰(zhàn)與剖析之觸摸事件(touchstart、touchmove和touchend)8. php使用正則驗證密碼字段的復(fù)雜強度原理詳細(xì)講解 原創(chuàng)9. 不要在HTML中濫用div10. ASP將數(shù)字轉(zhuǎn)中文數(shù)字(大寫金額)的函數(shù)
網(wǎng)公網(wǎng)安備