欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

PHP數(shù)據(jù)過濾的方法

 更新時(shí)間:2013年10月30日 14:59:30   作者:  
關(guān)于如何確保數(shù)據(jù)過濾無法被繞過有各種各樣的觀點(diǎn),今天我們就來看看PHP的數(shù)據(jù)過濾,對(duì)你一定會(huì)有幫助的。

在指南的開始,我們說過數(shù)據(jù)過濾在任何語(yǔ)言、任何平臺(tái)上都是WEB應(yīng)用安全的基石。這包含檢驗(yàn)輸入到應(yīng)用的數(shù)據(jù)以及從應(yīng)用輸出的數(shù)據(jù),而一個(gè)好的軟件設(shè)計(jì)可以幫助開發(fā)人員做到:
確保數(shù)據(jù)過濾無法被繞過,
確保不合法的信息不會(huì)影響合法的信息,并且
識(shí)別數(shù)據(jù)的來源。
關(guān)于如何確保數(shù)據(jù)過濾無法被繞過有各種各樣的觀點(diǎn),而其中的兩種觀點(diǎn)比其他更加通用并可提供更高級(jí)別的保障。
調(diào)度方法
這種方法是用一個(gè)單一的 php 腳本調(diào)度(通過 URL)。其他任何操作在必要的時(shí)候使用include或require包含進(jìn)來。這種方法一般需要每個(gè) URL 都傳遞一個(gè)單獨(dú)的GET變量用于調(diào)度。這個(gè)GET變量可以被認(rèn)為是用來替代腳本名稱的更加簡(jiǎn)化的設(shè)計(jì)。例如:
http://a.org/dispatch.php?task=PRint_formdispatch.php是唯一的根文件(Document root)。它可以讓開發(fā)者做兩件非常重要的事情:
在dispatch.php最開始實(shí)現(xiàn)一些全局的安全處理,并且確保這些處理不可以被繞過。
容易確定在必要的地方進(jìn)行數(shù)據(jù)過濾,特別是一些特殊目的的控制流操作中。
看下面的例子以便進(jìn)一步討論dispatch.php腳本:
<?php/* 全局安全處理 */switch ($_GET['task']){case 'print_form':include '/inc/presentation/form.inc';break;case 'process_form':$form_valid = false;include '/inc/logic/process.inc';if ($form_valid){include '/inc/presentation/end.inc';}else{include '/inc/presentation/form.inc';}break;default:include '/inc/presentation/index.inc';break;}?>如果這是唯一的可公開訪問到的 PHP 腳本,則可以確信的一點(diǎn)是這個(gè)程序的設(shè)計(jì)可以確保在最開始的全局安全處理無法被繞過。同時(shí)也讓開發(fā)者容易看到特定任務(wù)的控制流程。例如,不需要瀏覽整個(gè)代碼就可以容易的知道:當(dāng)$form_valid為true時(shí),end.inc是唯一顯示給用戶的;由于它在process.inc被包含之前,并剛剛初始化為false,可以確定的是process.inc的內(nèi)部邏輯會(huì)將設(shè)置它為true;否則表單將再次顯示(可能會(huì)顯示相關(guān)的錯(cuò)誤信息)。
注意
如果你使用目錄定向文件,如index.php(代替dispatch.php),你可以像這樣使用 URL 地址:http://a.org/?task=print_form。
你還可以使用 ApacheForceType重定向或者mod_rewrite來調(diào)整 URL 地址:http://a.org/app/print-form。
包含方法
另外一種方式是使用單獨(dú)一個(gè)模塊,這個(gè)模塊負(fù)責(zé)所有的安全處理。這個(gè)模塊被包含在所有公開的 PHP 腳本的最前端(或者非??壳暗牟糠郑⒖枷旅娴哪_本security.inc

復(fù)制代碼 代碼如下:

<?phpswitch ($_POST['form']){case 'login':$allowed = array();$allowed[] = 'form';$allowed[] = 'username';$allowed[] = 'passWord';$sent = array_keys($_POST);if ($allowed == $sent){include '/inc/logic/process.inc';}break;}?>

在本例中,每個(gè)提交過來的表單都認(rèn)為應(yīng)當(dāng)含有form這個(gè)唯一驗(yàn)證值,并且security.inc獨(dú)立處理表單中0需要過濾的數(shù)據(jù)。實(shí)現(xiàn)這個(gè)要求的 HTML 表單如下所示:
復(fù)制代碼 代碼如下:

<form action="/receive.php" method="POST"><input type="hidden" name="form" value="login" /><p>Username:<input type="text" name="username" /></p><p>Password:<input type="password" name="password" /></p><input type="submit" /></form>

叫做$allowed的數(shù)組用來檢驗(yàn)?zāi)膫€(gè)表單變量是允許的, 這個(gè)列表在表單被處理前應(yīng)當(dāng)是一致的。流程控制決定要執(zhí)行什么,而process.inc是真正過濾后的數(shù)據(jù)到達(dá)的地方。
注意
確保security.inc總是被包含在每個(gè)腳本的最開始的位置比較好的方法是使用auto_prepend_file設(shè)置。
過濾的例子
建立白名單對(duì)于數(shù)據(jù)過濾是非常重要的。由于不可能對(duì)每一種可能遇到的表單數(shù)據(jù)都給出例子,部分例子可以幫助你對(duì)此有一個(gè)大體的了解。
下面的代碼對(duì)郵件地址進(jìn)行了驗(yàn)證:
復(fù)制代碼 代碼如下:

<?php$clean = array();$email_pattern = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';if (preg_match($email_pattern, $_POST['email'])){$clean['email'] = $_POST['email'];}?>

下面的代碼確保了$_POST['color']的內(nèi)容是red,green,或者blue:
復(fù)制代碼 代碼如下:

[/co<?php$clean = array();switch ($_POST['color']){case 'red':case 'green':case 'blue':$clean['color'] = $_POST['color'];break;}?>de]
下面的代碼確保$_POST['num']是一個(gè)整數(shù)(integer):
[code]
<?php$clean = array();if ($_POST['num'] == strval(intval($_POST['num']))){$clean['num'] = $_POST['num'];}?>


下面的代碼確保$_POST['num']是一個(gè)浮點(diǎn)數(shù)(float):
復(fù)制代碼 代碼如下:

<?php$clean = array();if ($_POST['num'] == strval(floatval($_POST['num']))){$clean['num'] = $_POST['num'];}?>

名字轉(zhuǎn)換
之前每個(gè)例子都使用了數(shù)組$clean。對(duì)于開發(fā)人員判斷數(shù)據(jù)是否有潛在的威脅這是一個(gè)很好的習(xí)慣。 永遠(yuǎn)不要在對(duì)數(shù)據(jù)驗(yàn)證后還將其保存在$_POST或者$_GET中,作為開發(fā)人員對(duì)超級(jí)全局?jǐn)?shù)組中保存的數(shù)據(jù)總是應(yīng)當(dāng)保持充分的懷疑。
需要補(bǔ)充的是,使用$clean可以幫助思考還有什么沒有被過濾,這更類似一個(gè)白名單的作用??梢蕴嵘踩牡燃?jí)。
如果僅僅將驗(yàn)證過的數(shù)據(jù)保存在$clean,在數(shù)據(jù)驗(yàn)證上僅存的風(fēng)險(xiǎn)是你所引用的數(shù)組元素不存在,而不是未過濾的危險(xiǎn)數(shù)據(jù)。
時(shí)機(jī)
一旦 PHP 腳本開始執(zhí)行,則意味著 HTTP 請(qǐng)求已經(jīng)全部結(jié)束。此時(shí),用戶便沒有機(jī)會(huì)向腳本發(fā)送數(shù)據(jù)。因此,沒有數(shù)據(jù)可以被輸入到腳本中(甚至register_globals被開啟的情況下)。這就是為什么初始化變量是非常好的習(xí)慣。

 

 

相關(guān)文章

  • php libevent 功能與使用方法詳解

    php libevent 功能與使用方法詳解

    這篇文章主要介紹了php libevent 功能與使用方法,結(jié)合實(shí)例形式詳細(xì)分析了php libevent 基本功能、原理、使用方法及操作注意事項(xiàng),并附帶說明了linux下php安裝libevent的方法,需要的朋友可以參考下
    2020-03-03
  • php常用文件操作函數(shù)匯總

    php常用文件操作函數(shù)匯總

    這篇文章主要介紹了php常用文件操作函數(shù),以實(shí)例形式匯總了常用的文件操作函數(shù),包括文件的打開、寫入、讀取等常用操作,是非常實(shí)用的技巧,需要的朋友可以參考下
    2014-11-11
  • PHP之COOKIE支持詳解

    PHP之COOKIE支持詳解

    建立商業(yè)站點(diǎn)或者功能比較完善的個(gè)人站點(diǎn),常常需要記錄訪問者的信息,在PHP中提供了兩種方便的手段:session和cookie功能.為了永久的保持用戶信息,則cookie是最便捷的手段.在這里我將為大家詳細(xì)的講解cookie的功能及使用方法.
    2010-09-09
  • 詳解phpmyadmin相關(guān)配置與錯(cuò)誤解決

    詳解phpmyadmin相關(guān)配置與錯(cuò)誤解決

    這篇文章主要介紹了詳解phpmyadmin相關(guān)配置與錯(cuò)誤解決的相關(guān)資料,希望通過本文能幫助到大家,讓大家遇到這種問題可以解決,需要的朋友可以參考下
    2017-10-10
  • php expects parameter 1 to be resource, array given 錯(cuò)誤

    php expects parameter 1 to be resource, array given 錯(cuò)誤

    從名字可以看出來這是說你傳的參數(shù)有問題,也就是說,你在定義傳遞參數(shù)的時(shí)候 例如 mysql_query($query,$result),這兩個(gè)參數(shù),你只用了$query這個(gè)參數(shù),那么$result這個(gè)參數(shù),沒有使用,就會(huì)報(bào)這個(gè)錯(cuò)誤
    2011-03-03
  • Window下PHP三種運(yùn)行方式圖文詳解

    Window下PHP三種運(yùn)行方式圖文詳解

    PHP能不能成功的在Apache服務(wù)器上運(yùn)行,就看我們?nèi)绾稳ヅ渲肞HP的運(yùn)行方式
    2013-06-06
  • php Yii2框架創(chuàng)建定時(shí)任務(wù)方法詳解

    php Yii2框架創(chuàng)建定時(shí)任務(wù)方法詳解

    Yii2是一個(gè)基于組件、用于開發(fā)大型Web應(yīng)用的高性能PHP框架,采用嚴(yán)格的OOP編寫,并有著完善的庫(kù)引用以及全面的教程,該框架提供了Web 2.0應(yīng)用開發(fā)所需要的幾乎一切功能,是最有效率的PHP框架之一
    2022-09-09
  • php使用timthumb生成縮略圖的方法

    php使用timthumb生成縮略圖的方法

    這篇文章主要介紹了php使用timthumb生成縮略圖的方法,實(shí)例分析了PHP調(diào)用timthumb生成縮略圖的操作技巧與相關(guān)注意事項(xiàng),需要的朋友可以參考下
    2016-01-01
  • NOT NULL 和NULL

    NOT NULL 和NULL

    NOT NULL 和NULL...
    2007-01-01

最新評(píng)論