Данные пользовательского ввода

Наиболее опасные уязвимости в PHP-скриптах часто возникают не столько из-за самого языка, сколько из-за кода, который написали с нарушением требований безопасности. Поэтому лучше потратить время на исследование разрабатываемого участка кода, чтобы оценить потенциальную угрозу от ввода переменной с нестандартным значением.

Пример #1 Потенциально опасная обработка переменных

<?php

// Удалить файлы из домашней директории пользователя...
// а может, и ещё из какой-то?
unlink($evil_var);

// Записать в лог-файл выполняемое действие...
// а может, в файл /etc/passwd?
fwrite($fp, $evil_var);

// Выполнение тривиальных действий... или команды rm -rf *?
system($evil_var);
exec($evil_var);

?>

Требуется тщательно проверять код и быть на 100 % уверенным в правильной проверке данных, которые передаёт браузер. Ответьте на следующие вопросы:

  • Влияет ли скрипт только на предполагаемые данные?
  • Обрабатываются ли некорректные или нестандартные данные?
  • Получится ли использовать скрипт способом, который не предусмотрели?
  • Возможно ли использовать скрипт в сочетании с другими скриптами в негативных целях?
  • Правильно ли логируется каждая транзакция?

Лучше задуматься о безопасности при разработке скрипта, а не дорабатывать небезопасный код, когда потребуется исправлять последствия уязвимостей. Такой подход не гарантирует безопасность системы, но помогает значительно снизить количество уязвимостей.

Безопасность повышают путём отключения настроек, которые делают разработку удобной, но скрывают источник, достоверность или целостность данных. Уязвимости к атакам наподобие инъекций или жонглирования данными возникают, когда переменные создаются неявно или когда входные данные не проверяются.

Директива register_globals и директивы механизма magic_quotes, которые удалили в PHP 5.4.0, когда-то способствовали этим рискам, поскольку автоматически создавали переменные из пользовательского ввода и экранировали данные непоследовательно. Хотя директивы удалили из PHP, аналогичные риски сохраняются, когда входные данные обрабатывают неправильно.

Вызов error_reporting(E_ALL) включает режим сообщения об ошибках всех уровней и помогает определять неинициализированные переменные и проверять входные данные. Инструкция declare(strict_types=1) включает режим строгой типизации, который появился в PHP 7 и который повышает безопасность за счёт строгой проверки типов, предотвращает непреднамеренное преобразование типов и повышает общую безопасность.