PHP 7: 真实世界的应用开发
  • 前言
  • 模块一
    • 第一章、建立基础
      • PHP 7 安装注意事项
      • 使用内置的 PHP web 服务器
      • 创建一个 MySQL 测试数据库
      • 安装 PHPUnit
      • 实现类的自动加载
      • 抓取一个网站
      • 建立一个深度网络扫描器
      • 创建一个 PHP 5 到 PHP 7 代码转换器
    • 第二章、使用 PHP 7 高性能特性
      • 了解抽象语法树
      • 理解句法分析中的差异
      • 理解 foreach() 处理中的差异
      • 使用 PHP 7 增强功能提高性能
      • 遍历海量文件
      • 将电子表格上传到数据库
      • 递归目录迭代器
    • 第三章、使用 PHP 函数
      • 函数开发
      • 数据类型提示
      • 使用返回值数据类型
      • 使用迭代器
      • 使用生成器编写自己的迭代器
    • 第四章、使用 PHP 面向对象程序设计
      • 类的开发
      • 类的扩展
      • 使用静态属性和方法
      • 使用命名空间
      • 定义可见性
      • 使用接口
      • 使用特性
      • 实现匿名类
    • 第五章、与数据库的交互
      • 使用PDO连接数据库
      • 构建一个 OOP SQL 查询生成器
      • 处理分页
      • 定义实体以匹配数据库表
      • 将实体类与RDBMS查询绑定
      • 将二次查找嵌入到查询结果中
      • 实现jQuery DataTables的PHP查找
    • 第六章、建立可扩展的网站
      • 创建通用表单元素生成器
      • 创建一个HTML单选元素生成器
      • 创建一个HTML选择元素生成器
      • 实现表单工厂
      • 链式 $_POST 过滤器
      • 链式 $_POST 验证器
      • 将验证绑定到表单
    • 第七章、访问Web服务
      • 在PHP和XML之间转换
      • 创建一个简单的REST客户端
      • 创建一个简单的REST服务器
      • 创建一个简单的SOAP客户端
      • 创建一个简单的SOAP服务器
    • 第八章、处理日期/时间和国际化方面
      • 在视图脚本中使用 emoji
      • 转换复杂字符
      • 从浏览器数据获取语言环境
      • 按地区设置数字格式
      • 按地区处理货币
      • 按地区设置日期/时间格式
      • 创建一个HTML国际日历生成器
      • 构建一个周期性事件生成器
      • 不使用gettext处理翻译
    • 第九章、开发中间件
      • 使用中间件进行认证
      • 使用中间件实现访问控制
      • 使用高速缓存提高性能
      • 实施路由选择
      • 进行框架间的系统调用
      • 使用中间件来跨语言
    • 第十章、高级算法
      • 使用 getter 和 setter
      • 实现一个链表
      • 建立冒泡排序
      • 实现一个堆栈
      • 构建一个二分法查找类
      • 实现一个搜索引擎
      • 显示多维数组并累计总数
    • 第十一章、软件设计模式的实现
      • 创建数组到对象的转化器
      • 构建对象到数组到转化器
      • 实施策略模式
      • 定义一个映射器
      • 实现对象关系映射
      • 实施发布/订阅设计模式
    • 第十二章、提高网站安全
      • 过滤$_POST数据
      • 验证$_POST数据
      • 保护PHP session
      • 用令牌保护表格的安全
      • 建立一个安全的密码生成器
      • 带有验证码的安全保护表格
      • 不使用mcrypt进行加密/解密
    • 第十三章、最佳实践、测试和调试
      • 使用特征和接口
      • 通用异常处理程序
      • 通用错误处理程序
      • 编写一个简单的测试
      • 编写测试套件
      • 生成虚假的测试数据
      • 使用session_start参数自定义会话
    • PSR-7
  • 模块二
  • 模块三
    • GoF 设计模式
      • 结构型
      • 行为型
      • 小结
    • SOLID 设计原则
      • 开闭原则
      • 里氏替换原则
      • 接口隔离原则
      • 依赖反转原则
      • 小结
    • 模块化网店应用的需求规范
      • 线框设计
      • 定义技术栈
      • 小结
    • Symfony 概述
      • 创建一个空白项目
      • 使用 Symfony 控制台
      • 控制器
      • 路由
      • 模板
      • 表单
      • 配置 Symfony
      • bundle 系统
      • 数据库和 Doctrine
      • 测试
      • 验证
      • 小结
    • 构建核心模块
    • 构建目录模块
    • 构建客户模块
    • 构建支付模块
    • 构建发货模块
    • 构建销售模块
    • 总结
由 GitBook 提供支持
在本页
  • 如何做...
  • 如何运行...
  • 更多...
  1. 模块一
  2. 第十二章、提高网站安全

保护PHP session

PHP的session机制非常简单。一旦会话通过session_start()或php.ini中的session.autostart设置被启动,PHP引擎就会生成一个唯一的标记,默认情况下,这个标记会通过cookie的方式传递给用户。在随后的请求中,当会话仍然被认为是活动的,用户的浏览器(或类似的)会提交会话标识符,通常也是通过cookie的方式,以供检查。然后PHP引擎使用这个标识符在服务器上找到合适的文件,用存储的信息填充$_SESSION。当会话标识符是识别一个返回网站的访问者的唯一手段时,就会产生巨大的安全问题。在这个事例中,我们将介绍几种技术,帮助你保护你的 session,反过来,这将大大提高网站的整体安全性。

如何做...

1.首先,重要的是要认识到使用session作为唯一的认证手段是多么危险。想象一下,当一个有效用户登录到你的网站时,你在$_SESSION中设置了一个loggedIn标志。

session_start();
$loggedIn = $_SESSION['isLoggedIn'] ?? FALSE;
if (isset($_POST['login'])) {
  if ($_POST['username'] == // username lookup
      && $_POST['password'] == // password lookup) {
      $loggedIn = TRUE;
      $_SESSION['isLoggedIn'] = TRUE;
  }
}session_start();
$loggedIn = $_SESSION['isLoggedIn'] ?? FALSE;
if (isset($_POST['login'])) {
  if ($_POST['username'] == // username lookup
      && $_POST['password'] == // password lookup) {
      $loggedIn = TRUE;
      $_SESSION['isLoggedIn'] = TRUE;
  }
}

2. 在你的程序逻辑中,如果$_SESSION['isLoggedIn']被设置为 TRUE,将允许用户查看敏感信息。

<br>Secret Info
<br><?php if ($loggedIn) echo // secret information; ?>

3. 如果攻击者通过成功地执行跨站脚本(XSS)攻击来获取会话标识符,他/她所需要做的就是将PHPSESSID cookie的值设置为非法获取的值,然后他们就会被你的应用程序视为一个有效的用户。

4. 缩小PHPSESSID有效的时间窗口的一个快速而简单的方法是使用session_regenerate_id()。这个非常简单的命令会生成一个新的会话标识符,使旧的标识符失效,保持会话数据的完整性,并且对性能的影响很小。这个命令只能在会话开始后执行。

session_start();
session_regenerate_id();

5. 另一个经常被忽视的技术是确保网络访问者有一个注销选项。然而,重要的是,不仅要使用session_destroy()来销毁会话,还要取消设置$_SESSION数据,并过期会话cookie。

session_unset();
session_destroy();
setcookie('PHPSESSID', 0, time() - 3600);

6. 另一种可用于防止会话劫持的简单技术是开发网站访问者的指纹或拇指指纹。实现这种技术的一种方法是收集网站访问者在会话标识符之上的独特信息。这些信息包括用户代理(即浏览器)、接受的语言和远程IP地址。你可以从这些信息中得出一个简单的哈希值,并将哈希值存储在服务器上的一个单独文件中。下次用户访问网站时,如果你已经根据会话信息确定他们已经登录,那么你可以通过匹配指纹进行二次验证。

$remotePrint = md5($_SERVER['REMOTE_ADDR'] 
                   . $_SERVER['HTTP_USER_AGENT'] 
                   . $_SERVER['HTTP_ACCEPT_LANGUAGE']);
$printsMatch = file_exists(THUMB_PRINT_DIR . $remotePrint);
if ($loggedIn && !$printsMatch) {
    $info = 'SESSION INVALID!!!';
    error_log('Session Invalid: ' . date('Y-m-d H:i:s'), 0);
    // take appropriate action
}

我们使用md5(),因为它是一种快速散列算法,非常适合内部使用。我们不建议将md5()用于任何外部用途,因为它会受到暴力攻击。

如何运行...

为了演示 session 是如何受到攻击的,编写一个简单的登录脚本,在成功登录时设置$_SESSION['isLoggedIn']标志。你可以调用文件chap_12_session_hijack.php。

session_start();
$loggedUser = $_SESSION['loggedUser'] ?? '';
$loggedIn = $_SESSION['isLoggedIn'] ?? FALSE;
$username = 'test';
$password = 'password';
$info = 'You Can Now See Super Secret Information!!!';

if (isset($_POST['login'])) {
  if ($_POST['username'] == $username
      && $_POST['password'] == $password) {
        $loggedIn = TRUE;
        $_SESSION['isLoggedIn'] = TRUE;
        $_SESSION['loggedUser'] = $username;
        $loggedUser = $username;
  }
} elseif (isset($_POST['logout'])) {
  session_destroy();
}

然后你可以添加代码,显示一个简单的登录表格。要测试会话漏洞,请使用我们刚刚创建的chap_12_session_hijack.php文件按照这个步骤进行。

  1. 改为包含文件的目录

  2. 运行php -S localhost:8080命令

  3. 用一个浏览器,打开网址http://localhost:8080/<文件名>

  4. 以用户 test 身份登录,密码为password

  5. 你现在可以看到超级秘密信息了!!

  6. 刷新页面:每次,你应该看到一个新的会话标识符

  7. 复制PHPSESSID cookie的值

  8. 打开另一个浏览器到同一网页

  9. 通过复制PHPSESSID的值来修改浏览器发送的cookie

为了说明问题,我们还显示了$_COOKIE和$_SESSION的值,如下图所示,使用Vivaldi浏览器的截图。

然后,我们复制PHPSESSID的值,打开火狐浏览器,用一个叫Tamper Data的工具来修改cookie的值。

在接下来的截图中可以看到,我们现在是一个经过认证的用户,无需输入用户名和密码。

现在你可以实现前面步骤中讨论的变化。复制之前创建的文件到chap_12_session_protected.php。现在开始重新生成会话ID:

<?php
define('THUMB_PRINT_DIR', __DIR__ . '/../data/');
session_start();
session_regenerate_id();

接下来,初始化变量并确定登录状态(如前)。

$username = 'test';
$password = 'password';
$info = 'You Can Now See Super Secret Information!!!';
$loggedIn = $_SESSION['isLoggedIn'] ?? FALSE;
$loggedUser = $_SESSION['user'] ?? 'guest';

您可以使用远程地址、用户代理和语言设置添加会话指纹。

$remotePrint = md5($_SERVER['REMOTE_ADDR']
  . $_SERVER['HTTP_USER_AGENT']
  . $_SERVER['HTTP_ACCEPT_LANGUAGE']);
$printsMatch = file_exists(THUMB_PRINT_DIR . $remotePrint);

如果登录成功,我们会在会话中存储拇指指纹信息和登录状态。

if (isset($_POST['login'])) {
  if ($_POST['username'] == $username
      && $_POST['password'] == $password) {
        $loggedIn = TRUE;
        $_SESSION['user'] = strip_tags($username);
        $_SESSION['isLoggedIn'] = TRUE;
        file_put_contents(
          THUMB_PRINT_DIR . $remotePrint, $remotePrint);
  }

你也可以检查注销选项,并实现一个正确的注销程序:取消设置$_SESSION变量,使session无效,并使cookie过期。你也可以删除拇指印文件并实现重定向。

} elseif (isset($_POST['logout'])) {
  session_unset();
  session_destroy();
  setcookie('PHPSESSID', 0, time() - 3600);
  if (file_exists(THUMB_PRINT_DIR . $remotePrint)) 
    unlink(THUMB_PRINT_DIR . $remotePrint);
    header('Location: ' . $_SERVER['REQUEST_URI'] );
  exit;

否则,如果不是登录或注销的操作,可以检查是否认为用户已经登录,如果拇指指纹不匹配,则认为会话无效,并采取相应的操作。

} elseif ($loggedIn && !$printsMatch) {
    $info = 'SESSION INVALID!!!';
    error_log('Session Invalid: ' . date('Y-m-d H:i:s'), 0);
    // take appropriate action
}

现在你可以使用新的chap_12_session_protected.php文件运行与之前提到的相同的过程。你会注意到的第一件事是,会话现在被认为是无效的。输出结果看起来像这样:

这是因为您现在使用的是不同的浏览器,所以拇指印不匹配。同样,如果您刷新第一个浏览器的页面,会话标识符将被重新生成,使任何先前复制的标识符过时。最后,注销按钮将完全清除会话信息。

更多...

关于网站漏洞的优秀概述,请参考https://www.owasp.org/index.php/Category:Vulnerability。

有关会话劫持的信息,请参考https://www.owasp.org/index.php/Session_hijacking_attack。

上一页验证$_POST数据下一页用令牌保护表格的安全

最后更新于4年前