Napisane przez Wooya dnia 08 kwietnia 2007 15:57 · 4 komentarze · 9051 czytań ·  ·  · 

Wiemy, że bezpieczeństwo PHP-Fusion jest sprawą bardzo ważną (np. odporność na ataki XSS, SQL Injection, DoS). Chcę tutaj opisać jak pisać bezpieczne moduły i infusiony przy użyciu funkcji ogólnie dostępnych w core (jądrze) PHP-Fusion.

1) prawa użytkowników:
aby sprawdzić poziom użytkownika (level) używaj wbudowanych stałych: iGUEST, iUSER, iMEMBER, iADMIN, iSUPERADMIN, iUSER_RIGHTS, iUSER_GROUPS i funkcji sprawdzających checkrights(), getuserlevel(), checkgroup(), groupaccess().
Nie próbuj napisać swoich własnych, "lepszych" procedur ;)

2) zapytania MySQL:
zawsze używaj wbudowanych PHP-Fusion funkcji obsługi bazy MySQL, aby wykonywać swe kwerendy:
- dbquery() - aby wysłać zapytanie
- dbrows() - aby pobrać ilość dostępnych wierszy w wyniku
- dbcount() - aby policzyć ilość danych w wyniku
- dbresult() - aby pobrać wynik
- dbarray() - aby pobrać dane do tablicy asocjacyjnej
- dbarraynum() - aby pobrać konkretny wiersz z wyniku

W większości przypadków te funkcje są wystarczające do obsługi Twojej bazy danych.

NOTKA: Pamiętajcie, aby optymalizować swoje zapytania do bazy! Serwery niezbyt kochają tysiące kwerend przy jednym przeładowaniu strony ;)

3) zmienne serwera $_POST i $_GET:
- zawsze pamiętaj, aby usuwać potencjalnie złośliwe dane PHP i HTML z przesyłanych ciągów przy pomocy funkcji stripinput(), np.:

$moje_dane = stripinput($POST['moje_dane']).

Ta funkcja zamienia wszystkie potencjalnie niebezpieczne HTML'owe znaki na ich symboliczne odpowiedniki.

- jeżeli przesyłana zmienna POST/GET powinna być numeryczna, to do sprawdzenia tego używaj funkcji isNum(). Jeżeli przesyłana wartość numeryczna jest niezbędna do wstawienia do tabeli, to używaj kodu sprawdzającego jak np. poniżej:

if (!isNum($_POST['moj_numer'])) falback("index.php");

w innym wypadku:

$moj_numer = isNum($_POST['moj_numer']) ? $_POST['moj_numer'] : $moj_domyslny_numer;

- nigdy nie wysyłaj poprzez zmienną środowiskową GET ważnych danych takich jak hasła!

- staraj się operować na bazie danych poprzez poja ID (numeryczne). O wiele prościej sprawdzić bezpieczeństwo parametru jeżeli jest wartością numeryczną niż tekstową (przez funkcje isNum()). Parsowanie ciągów tekstowych wymaga dobrej znajomości funkcji ekspresyjnych PCRE.

4) inne problemy:
- zawsze umieszczaj na wstępie swojego infusiona administracyjnego następujący kod:
if (!checkrights("IP")) fallback("../index.php");

- zawsze umieszczaj na wstępie swojego panelu następujący kod:
if (!defined("IN_FUSION")) { header("Location:../../index.php"); exit; }

- zawsze umieszczaj następujący kod na wstępie swoich include'ów:
if (!defined("IN_FUSION")) { header("Location:../index.php"); exit; }

- zawsze weryfikuja upload'owane obrazki poprzez funkcję verify_image(). Pamiętaj, że niektóre przeglądarki (wiesz, KTÓRA ;) mogą wykonywać niebezpieczne (złośliwe) kody JavaScript poprzez tagi HTML'a

- nie zostawiaj ostrzeżeń e_notice samym sobie. Jeżeli już się jakiś pojawia, to oznacza, że istnieje potencjalna dziura do wykorzystania przez haker'ów. Deklaruj zmienne z domyślną wartością, które będziesz wykorzystywał. Przykład bez deklaracji (ostrzeżenie e_notice):

$otherdata = 'a'; $data = array('b', 'c', 'd'); for ($i=0;$i if ($otherdata==$data[$i]) $result = "OK"; } $final_result = $result;

Powyższy skrypt wyda sotrzeżenie: Variable $result not defined at line XXX.

Poniżej poprawiony skrypt bez ostrzeżenia:

$otherdata = 'a'; $data = array('b', 'c', 'd'); $result = "DEFAULT VALUE"; //ta linia poprawia błąd for ($i=0;$i if ($otherdata==$data[$i]) $result = "OK"; } $final_result = $result;

-----------------------------
Ten artykuł nie obejmuje wszystkich zagadnień bezpieczeństwa skryptów PHP, ale powinien pomóc młodym programistom w pisaniu bardziej bezpiecznych skryptów dla PHP-Fusion.

Pozdrówka:
Wooya
wooya [at] 2loud [dot] net [dot] pl