av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術文章
文章詳情頁

PHP安全之文件系統安全及防范措施

瀏覽:5日期:2022-09-15 11:21:48

PHP 遵從大多數服務器系統中關于文件和目錄權限的安全機制。這就使管理員可以控制哪些文件在文件系統內是可讀的。必須特別注意的是全局的可讀文件,并確保每一個有權限的用戶對這些文件的讀取動作都是安全的。

PHP 被設計為以用戶級別來訪問文件系統,所以完全有可能通過編寫一段 PHP 代碼來讀取系統文件如 /etc/passwd,更改網絡連接以及發送大量打印任務等等。因此必須確保 PHP 代碼讀取和寫入的是合適的文件。

請看下面的代碼,用戶想要刪除自己主目錄中的一個文件。假設此情形是通過 web 界面來管理文件系統,因此 Apache 用戶有權刪除用戶目錄下的文件。

Example #1 不對變量進行安全檢查會導致……

<?php // 從用戶目錄中刪除指定的文件 $username = $_POST[’user_submitted_name’]; $userfile = $_POST[’user_submitted_filename’]; $homedir = '/home/$username'; unlink ('$homedir/$userfile'); echo 'The file has been deleted!';?>

既然 username 和 filename 變量可以通過用戶表單來提交,那就可以提交別人的用戶名和文件名,甚至可以刪掉本來不應該讓他們刪除的文件。這種情況下,就要考慮其它方式的認證。想想看如果提交的變量是“../etc/”和“passwd”會發生什么。上面的代碼就等同于:

Example #2 ……文件系統攻擊

<?php // 刪除硬盤中任何 PHP 有訪問權限的文件。如果 PHP 有 root 權限: $username = $_POST[’user_submitted_name’]; // '../etc' $userfile = $_POST[’user_submitted_filename’]; // 'passwd' $homedir = '/home/$username'; // '/home/../etc' unlink('$homedir/$userfile'); // '/home/../etc/passwd' echo 'The file has been deleted!';?>

有兩個重要措施來防止此類問題。

只給 PHP 的 web 用戶很有限的權限。檢查所有提交上來的變量。

下面是改進的腳本:

Example #3 更安全的文件名檢查

<?php // 刪除硬盤中 PHP 有權訪問的文件 $username = $_SERVER[’REMOTE_USER’]; // 使用認證機制 $userfile = basename($_POST[’user_submitted_filename’]); $homedir = '/home/$username'; $filepath = '$homedir/$userfile'; if (file_exists($filepath) && unlink($filepath)) {$logstring = 'Deleted $filepathn'; } else {$logstring = 'Failed to delete $filepathn'; } $fp = fopen('/home/logging/filedelete.log', 'a'); fwrite ($fp, $logstring); fclose($fp); echo htmlentities($logstring, ENT_QUOTES);?>

然而,這樣做仍然是有缺陷的。如果認證系統允許用戶建立自己的登錄用戶名,而用戶選擇用“../etc/”作為用戶名,系統又一次淪陷了。所以,需要加強檢查:

Example #4 更安全的文件名檢查

<?php $username = $_SERVER[’REMOTE_USER’]; // 使用認證機制 $userfile = $_POST[’user_submitted_filename’]; $homedir = '/home/$username'; $filepath = '$homedir/$userfile'; if (!ctype_alnum($username) || !preg_match(’/^(?:[a-z0-9_-]|.(?!.))+$/iD’, $userfile)) {die('Bad username/filename'); } //后略……?>

根據操作系統的不同,存在著各種各樣需要注意的文件,包括聯系到系統的設備(/dev/ 或者 COM1)、配置文件(/ect/ 文件和 .ini文件)、常用的存儲區域(/home/ 或者 My Documents)等等。由于此原因,建立一個策略禁止所有權限而只開放明確允許的通常更容易些。

標簽: PHP
相關文章:
主站蜘蛛池模板: 亚洲国产精品久久人人爱 | 欧美精品一区二区三区蜜桃视频 | 国产一区欧美一区 | 日韩中文字幕一区二区 | 免费看黄色视屏 | 91麻豆精品国产91久久久更新资源速度超快 | 精品国产一区二区三区在线观看 | 国产97色 | 天堂在线中文字幕 | 午夜天堂 | 国产激情福利 | www.五月天婷婷 | 色综合色综合 | 国产精品久久一区二区三区 | 日韩第一区 | 国产精品18久久久久久白浆动漫 | 精品一区二区三区在线观看国产 | 亚洲免费在线观看视频 | 中文字幕av亚洲精品一部二部 | 亚洲在线免费 | 亚州精品成人 | 丝袜一区二区三区 | 日韩欧美国产一区二区三区 | 成人教育av | 日韩精品久久久久久 | 亚洲日产精品 | 精品成人免费视频 | 精品成人一区二区 | 亚洲小视频在线观看 | 一区二区三区小视频 | 午夜看电影在线观看 | 亚洲欧美中文日韩在线v日本 | 在线国产一区二区三区 | 免费成人午夜 | 亚洲 中文 欧美 日韩 在线观看 | 午夜视频免费网站 | 精品国产一级 | 久久在看| 国产日韩欧美中文字幕 | 国产精品毛片一区二区在线看 | av中文字幕网 |