PHP安全小建议

近日比较关注PHP的安全问题，国内的许多开发者，特别是PHP初学者，很多时候仅满足功能是否实现，对安全的探讨浅尝辄止甚至漠不关心。这样的后果很严重，比如泛滥的SQL注入，甚至还有直接被下载数据库连接文件的……此文译自Cal Evans发表DevZone的系列专题：PHP Security Tip (安全建议/小窍门) 虽然不是最新文章，但提到的许多原则性的东西和经典的做法仍然是值得重视的，绝对是值得一读的好文章，借此抛砖引玉，希望能给大家一点帮助，建立良好的安全意识，了解必要的防范措施。 文中加入本人的理解和注释的地方已经注明，首次翻译，不当之处欢迎指出。谢谢

　　,原书共21个建议，这是翻译的上部。

　　PHP安全小建议1

　　如果你在寻找安全方面的银弹(在西方基督教的传说中，只有银弹击中心脏，才可以杀死恶魔(吸血鬼? 狼人)。在Fred Brooks关于软件工程的著名书籍《人月神话里》和《没有银弹》中，把规模越来越大的软件开发项目比作无法控制的怪物，即希望有一样技术，能够像银弹彻底杀死恶魔那样，彻底解决这个问题。译者注)，我有一个坏消息要告诉你，没有银弹。安全问题需要持续不断的努力和大量琐碎的工作而不是作为单一的大问题来解决，这个月我们将在DevZone开始一个新的专题，"一周安全小建议", 作为开始，在三月期间，我们将每天发布一个建议。有些建议将是一些你可以动手做的具体的事情，另一些则是你需要注意的一般概念，所有的建议都很简短，好了，闲话少说，下面开始我们第一个"一周安全小建议"。

　　评论：

　　邮件列表

　　参与相关的邮件列表是一个好主意，你可以在下列地址找到最新的PHP发布新闻的公告列表!

　　http://www.php.net/mailing-lists.php

　　PHP安全建议#2

　　使用隐藏信息来保证安全不能从根本上起到安全作用(Security by obscurity is no security at all.)，但另一方面你也不想泄露你的站点信息。

　　今天的建议很简单，但在生产环境下却经常被忽视。

　　务必不要显示错误信息和站点的潜在泄密信息

　　只要简单地在生产服务器的php.ini 设置display_errors = Off ，就可以防止泄露系统结构信息，让入侵者有机可乘。默认的设置是：display_errors = On.

　　在手册的错误处理和日志函数介绍一节，你可以找到更多信息和错误报告选项。

　　PHP安全建议#3

　　有安全意识是一件好事，但其本身不能解决问题，在安全问题上时开发者必须时刻保持警惕，尽管那样还是不足够的，今天的安全建议给你提 个醒：

　　由于你的应用程序可能存在很多你未曾发现的安全隐患，使用第三方安全软件或服务可以帮助你对应用程序做一个清晰的透视，发现被忽视的不足之处。

　　作为开发者，你的工具箱应该有能帮助检测应用程序安全隐患方面的工具。像Chorizo那样的工具, 它能自动扫描你的代码来发现问题，而像PHPSecInfo这样的程序可以确保环境的正确配置。

　　为了安全的保证，仅仅是使用这些工具或者其他扫描工具还是不够的，然而它们是各种组合措施里很重要的一部分。值得依赖的项目和供应商将有助你建立和维护安全的应用程序。

　　PHP安全建议#4

　　正如谚语所说," 使用隐藏信息来保证安全不能从根本上起到安全作用(Security through obscurity is no security at all.)"，然而在另一方面，隐藏信息，作为安全整体战略的一部分却是一件好事，为那些怀有不轨之心的家伙把事情变得简单毫无意义，从这里引申出我们今天的安全小建议。

　　不要企图依赖晦涩的命名来保持应用程序的安全，你应该经常检查权限，使用测试工具检查隐患，留心可疑活动的日志文件。尽管如此，在设计应用和网站时，也不要为有不轨之心的人做坏事提供简便的机会。文件或目录不要使用默认的或者通用的命名。

　　你是不是也有想要分享的安全小建议呢? 通过研究得到的黄金信条，还是现实生活里碰钉子后的经验教训? 欢迎登录后点击右上角的贡献按钮和我们分享。

　　PHP安全建议#5

　　PHP安全是一个持续的任务，它要求程序员思考应用程序参数外面的情况，现在，光是想着“它(应用程序)做了我想让它做的事吗?”你必须同时考虑到"人们还能用它来干什么和我允许他们这样做吗?"今天的安全建议是一个所有程序员必须每天背诵的格言：

　　永远不要相信用户。(Never trust the user)

　　用户是邪恶的，尽管就现实生活来说是很悲哀的事情，他们千方百计就为了破解你的应用程序，只要你掉以轻心然后这样想着：“我不过是兜售一点喂饱了的小动物而已(开发应用程序的一个比喻，译者注)，我的用户真的能这么邪恶?”，那么你已经输掉了这声战斗。

　　好吧，也许事情还没这么恐怖的地步，但你仍然需要对一部分用户保持警惕之心。第二个所有程序员必须每天背诵的格言出现了

　　过滤输入，编码输出(Filter Input, Escape Output)

　　是的，FIFO(好吧，它的发音不像GIGO那么酷) ，它却是所有具有安全意识的程序员赖以生存的魔咒之一。

　　PHP安全建议#6

　　编写安全的PHP应用程序的话题远不止编写良好的PHP代码，大部分的应用都会这样或那样地用到数据库，很多时候，在建立SQL代码的过程中，影响整个应用的安全隐患也钻了进来。

　　在SQL查询中处理数字时，务必进行投射(cast)

　　即使在过滤输入，一个简单而好用的安全措施是在SQL语句中投射所有的数字类型值。如下列代码所示

　　$myId = filter_var($_GET['id'],FILTER_VALIDATE_INT);

　　$sql = 'SELECT * FROM table WHERE id = '.$myId;

　　即便你使用PHP5.2内置的原生PHP过滤器(请参考最新PHP手册【某些旧的中文版本的PHP手册没有这个章节】Data Filtering一节，译者注)，你还可以做一些其他的事情。试试换成下面的语句：

　　$myId = filter_var($_GET['id'],FILTER_VALIDATE_INT );

　　$sql = 'SELECT * FROM table WHERE id = '.(int)$myId;

　　最终模型(final cast)里变量被投射成了整型(int) ，移除了全部到底向Mysql传递了什么的疑惑，以上例子有意地进行了简化，在现实情况下，代码会更复杂，出错的机会也会更多，依赖最终模型来建立select语句，你的代码多了一级安全保护。