PHP編碼安全:變量安全
變量覆蓋常常被惡意攻擊者用來跳過正常的業務邏輯,越過權限限制,惡意攻擊系統,嚴重時將造成系統癱瘓。
1、全局變量覆蓋
當register_globals全局變量設置開啟時,傳遞過來的值會被直接注冊為全局變量而直接使用,這會造成全局變量覆蓋。
如果通過$GLOBALS從瀏覽器動態獲取變量,也會發生變量覆蓋的情況。為了方便理解,引用全局變量配置的例子進行介紹。
- <form name="login" action="LoginUrl" method="POST">
- <input type=“text” name="username">
- <input type=“password” name="password">
- <input type=“submit” value="login">
- </form>
通過$GLOBALS獲取瀏覽器提交的變量。
- <?php
- foreach($_REQUEST as $param=>$value) {
- $GLOBALS[$param]=>$value; // 使用$GLOBALS造成變量覆蓋
- }
- if(authenticated_user()) { // 認證用戶是否登錄
- $authorized=true;
- }
攻擊者在請求中構造authorized=true,無須認證用戶名和密碼就可以直接設置authorized的值為true,從而跳過認證進入登錄狀態。
為了避免全局變量覆蓋的發生,研發人員不應該使用上面的方式從客戶端接收動態變量將其放入全局的$GLOBALS中。以下是修復后的代碼。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 認證用戶是否登錄
- $authorized=true;
- }
2、動態變量覆蓋
PHP動態變量是指一個變量的變量名可以動態地設置和使用,一個變量獲取另一個變量的值作為這個變量的變量名。以下是動態變量示例。
- <?php
- $Bar="a";
- $Foo="Bar";
- $World="Foo";
- $Hello="World";
- $a="Hello";
- echo $a; // 輸出Hello
- echo $$a; // 輸出World
- echo $$$a; // 輸出Foo
- echo $$$$a; // 輸出Bar
- echo $$$$$a; // 輸出a
- echo $$$$$$a; // 輸出Hello
- echo $$$$$$$a; // 輸出World
研發人員在平時研發過程中多多少少會使用一些動態變量,然而使用不當將會造成變量覆蓋,所以應該盡量避免使用PHP的動態變量。
以下代碼示例中的動態變量就屬于使用不當的情況。
- <?php
- foreach($_POST as $key=>$value) {
- $$key=$value; // 造成動態變量覆蓋
- }
- if(authenticated_user()) { // 認證用戶是否登錄
- $authorized=true;
- }
- ?>
當用戶提交的參數中包含authorized=true時,在執行authenticated_user()步驟之前,authorized的值已經被設置為true,因此用戶在無須通過校驗的情況下即可直接向下執行,繞過了校驗邏輯,造成任意越權訪問的后果。
為了避免全局變量覆蓋的發生,應盡量不使用動態變量接收客戶端參數。以下是修復后的代碼。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 認證用戶是否登錄
- $authorized=true;
- }
3、函數extract()變量覆蓋
extract()函數的作用是從數組中導入變量到當前符號表中,檢查每個鍵是否是有效的變量名。它還檢查與符號表中現有變量是否沖突。為了防止發生變量覆蓋,在使用的時候需要將flags設置為EXTR_SKIP,以免將已有變量覆蓋。
- <?php
- extract($_REQUEST ); // 使用extract造成變量覆蓋
- if(authenticated_user()) { // 認證用戶是否登錄
- $authorized=true;
- }
- ?>
當用戶提交的參數中包含authorized=true時,在執行authenticated_user()步驟之前,extract()函數從$_REQUEST中解析到authorized并設置全局變量,它的值被設置為true。此時,用戶在無須通過校驗的情況下可直接向下執行,繞過了校驗邏輯,造成任意越權訪問。
為了避免全局變量覆蓋的發生,應盡量不使用extract()函數接收客戶端參數。下面是修復后的代碼。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 認證用戶是否登錄
- $authorized=true;
- }
4、函數import_request_variables()變量覆蓋
import_request_variables()函數的作用是導入GET/POST/Cookie變量進入全局范圍。如果在PHP配置中禁用了register_globals,但是又希望導入一些全局變量,可能會用到import_request_variables()函數。
- <?php
- import_request_variables("gp"); // 導入GET和POST中的變量造成變量覆蓋
- if(authenticated_user()) { // 認證用戶是否登錄
- $authorized=true;
- }
- ?>
當用戶提交的參數中包含authorized=true時,在執行authenticated_user()步驟之前,import_request_variables解析GET或POST中包含的authorized參數,并且設置為true。此時,用戶在無須通過校驗的情況下可直接向下執行,繞過了校驗邏輯,造成任意越權訪問。
為了避免全局變量覆蓋的發生,應盡量不使用上述方式接收客戶端參數。以下是修復后的代碼。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 認證用戶是否登錄
- $authorized=true;
- }
5、函數parse_str()變量覆蓋
parse_str()函數用于解析客戶端以x-www-form-urlencoded編碼格式的字符串到PHP變量中。該函數有指定輸出變量和不指定輸出變量兩種使用方式。
以下示例是parse_str()的兩種使用方式。
- <?php
- $str="first=value&arr[]=foo+bar&arr[]=baz";
- // 第一種:當指定輸出變量時
- parse_str($str,$output);
- echo $output['first']; // value
- echo $output['arr'][0]; // foo bar
- echo $output['arr'][1]; // baz
- // 第一種:當不指定輸出變量時
- parse_str($str);
- echo $first; // value
- echo $arr[0]; // foo bar
- echo $arr[1]; // baz
- ?>
在不指定輸出變量的情況下,極易出現變量覆蓋,影響正常業務邏輯,例如以下形式。
- <?php
- parse_str($GLOBALS['HTTP_RAW_POST_DATA']); //獲取POST中的變量造成變量覆蓋
- if(authenticated_user()) { // 認證用戶是否登錄
- $authorized=true;
- }
- ?>
當用戶在提交的參數中直接提交authorized=true時,parse_str()函數通過解析POST中的authorized并且將值設置為true。此時,無須執行if條件內部語句即可將authorized的值設置為true,就跳過了用戶驗證邏輯,造成任意登錄。
為了避免全局變量覆蓋的發生,應盡量使用指定輸出變量的方式。以下是修復后的代碼。
- <?php
- parse_str($_POST,$output);
- if(authenticated_user($output['username'],$output['password'])) { // 認證用戶是否登錄
- $authorized=true;
- }
