在典型的PHP應(yīng)用開發(fā)中，大多數(shù)的邏輯涉及數(shù)據(jù)處理任務(wù)，例如確認(rèn)用戶是否成功登錄，在購(gòu)物車中加入商品及處理信用卡交易。

數(shù)據(jù)可能有無數(shù)的來源，做為一個(gè)有安全意識(shí)的開發(fā)者，你需要簡(jiǎn)單可靠地區(qū)分兩類數(shù)據(jù)：

l已過濾數(shù)據(jù)

l被污染數(shù)據(jù)

所有你自己設(shè)定的數(shù)據(jù)可信數(shù)據(jù)，可以認(rèn)為是已過濾數(shù)據(jù)。一個(gè)你自己設(shè)定的數(shù)據(jù)是任何的硬編碼數(shù)據(jù)，例如下面的email地址數(shù)據(jù)：

$email = ’[email protected]’;

上面的Email地址[email protected]并不來自任何遠(yuǎn)程數(shù)據(jù)源。顯而易見它是可信的。任何來自遠(yuǎn)程數(shù)據(jù)源的數(shù)據(jù)都是輸入，而所有的輸入數(shù)據(jù)都是被污染的，必須在要在使用前對(duì)其進(jìn)行過濾。

被污染數(shù)據(jù)是指所有不能保證合法的數(shù)據(jù)，例如用戶提交的表單，從郵件服務(wù)器接收的郵件，及其它web應(yīng)用中發(fā)送過來的xml文檔。在前一個(gè)例子中，$email是一個(gè)包含有已過濾數(shù)據(jù)的變量。數(shù)據(jù)是關(guān)鍵，而不是變量。變量只是數(shù)據(jù)的容器，它往往隨著程序的執(zhí)行而為被污染數(shù)據(jù)所覆蓋：

$email = $_POST[’email’];

當(dāng)然，這就是$email叫做變量的原因，如果你不希望數(shù)據(jù)進(jìn)行變化，可以使用常量來代替：

CODE:

define(’EMAIL’, ’[email protected]’);

如果用上面的語句進(jìn)行定義，EMAIL在整個(gè)腳本運(yùn)行中是一個(gè)值為[email protected]的不變的常量，甚至在你把試圖把它重新賦值時(shí)也不會(huì)改變（通常是不小心）。例如，下面的代碼輸出為[email protected] (試圖重定義一個(gè)常量會(huì)引起一個(gè)級(jí)別為Notice的報(bào)錯(cuò)信息)。

CODE:

<?php

define(’EMAIL’, ’[email protected]’);

define(’EMAIL’, ’[email protected]’);

echo EMAIL;

?>

小提示

欲更多了解常量, 請(qǐng)?jiān)L問 http://php.net/constants.

正如第一章中所討論過的，register_globals可使確定一個(gè)變量如$email的來源變得十分困難。所有來自外部數(shù)據(jù)源的數(shù)據(jù)在被證明合法前都應(yīng)該被認(rèn)為被污染的。

盡管一個(gè)用戶能用多種方式發(fā)送數(shù)據(jù)，大多數(shù)應(yīng)用還是依據(jù)表單的提交結(jié)果進(jìn)行最重要的操作。另外一個(gè)攻擊者只要通過操縱提交數(shù)據(jù)（你的應(yīng)用進(jìn)行操作的依據(jù)）即可危害，而表單向他們方便地開放了你的應(yīng)用的設(shè)計(jì)方案及你需要使用的數(shù)據(jù)。這也是表單處理是所有Web應(yīng)用安全問題中的首先要關(guān)心的問題的原因。

一個(gè)用戶可以通過三種方式您的應(yīng)用傳輸數(shù)據(jù)：

l通過URL(如GET數(shù)據(jù)方式)

l通過一個(gè)請(qǐng)求的內(nèi)容（如POST數(shù)據(jù)方式）

l通過HTTP頭部信息（如Cookie）

由于HTTP頭部信息并不與表單處理直接相關(guān)，在本章中不作討論。通常，對(duì)GET與POST數(shù)據(jù)的懷疑可以推及到所有輸入，包括HTTP頭部信息。

表單通過GET或POST請(qǐng)求方式傳送數(shù)據(jù)。當(dāng)你建立了一個(gè)HTML表單，你需要在form標(biāo)簽的method屬性中指定請(qǐng)求方式：

<form action='http://example.org/register.php' method='GET'>

在前例中，請(qǐng)求方式被指定為GET，瀏覽器將通過URL的請(qǐng)求串部分傳輸數(shù)據(jù)，例如，考慮下面的表單：

CODE:

<form action='http://example.org/login.php' method='GET'>

<p>Username: <input type='text' name='username' /></p>

<p>Password: <input type='password' name='password' /></p>

<p><input type='submit' /></p>

</form>

如果我輸入了用戶名chris和密碼mypass，在表單提交后，我會(huì)到達(dá)URL為http://example.org/login.php?username=chris&password=mypass的頁面。該URL最簡(jiǎn)單的合法HTTP/1.1請(qǐng)求信息如下：

CODE:

GET /login.php?username=chris&password=mypass HTTP/1.1

Host: example.org

并不是必須要使用HTML表單來請(qǐng)求這個(gè)URL，實(shí)際上通過HTML表單的GET請(qǐng)求方式發(fā)送數(shù)據(jù)與用戶直接點(diǎn)擊鏈接并沒有什么不同。

記住如果你在GET方式提交的表單中的action中試圖使用請(qǐng)求串，它會(huì)被表單中的數(shù)據(jù)所取代。

而且，如果你指定了一個(gè)非法的請(qǐng)求方式，或者請(qǐng)求方式屬性未寫，瀏覽器則會(huì)默認(rèn)以GET方式提交數(shù)據(jù)。

為說明POST請(qǐng)求方式，只對(duì)上例進(jìn)行簡(jiǎn)單的更改，考慮把GET請(qǐng)求方式更改為POST的情況：

CODE:

<form action='http://example.org/login.php' method='POST'>

<p>Username: <input type='text' name='username' /></p>

<p>Password: <input type='password' name='password' /></p>

<p><input type='submit' /></p>

</form>

如果我再次指定用戶名chris和密碼mypass，在提交表單后，我會(huì)來到http://example.org/login.php頁面。表單數(shù)據(jù)在請(qǐng)求的內(nèi)部而不是一個(gè)URL的請(qǐng)求串。該方式最簡(jiǎn)單的合法HTTP/1.1請(qǐng)求信息如下

CODE:

POST /login.php HTTP/1.1

Host: example.org

Content-Type: application/x-www-form-urlencoded

Content-Length: 30

username=chris&password=mypass

現(xiàn)在你已看到用戶向你的應(yīng)用提供數(shù)據(jù)的主要方式。在下面的小節(jié)中，我們將會(huì)討論攻擊者是如何利用你的表單和URL作為進(jìn)入你的應(yīng)用的缺口的。