PHP簡介與安全問題之探討.pptVIP

PHP簡介與安全問題之探討 助教： 林義能 資科系計算機中心 2003.11.27 大綱 簡介 安裝步驟 Register_globals的問題 程式撰寫注意事項 遠端檔案存取 檔案上傳 Session可能產生的問題 其他注意事項 參考資料 PHP簡介 Server-side scripting 用來產生動態網頁的語言 和資料庫(mysql, postgres, etc)結合 Command-line scripting 用來寫shell script Client-side GUI applications 利用PHP-GTK (version 2 is under development for PHP5) Based on GTK (必威体育精装版版為GTK+) 多平台的開放原始碼的 GUI 工具集 安裝步驟 (1/2) [root @test php-4.2.3]# ./configure --prefix=/usr/local/php4?? \ --with-apxs2=/usr/local/apache2/bin/apxs?? \ --with-mysql=/usr/local/mysql?? \ --with-config-file-path=/usr/local/php4 --prefix= 安裝的路徑--with-apxs2：為 Apache2 專用的選項 --with-mysql：For MySQL！ --with-config-file-path：php 的設定檔 php.ini 放置的目錄  開始編譯與安裝： [root @test php-4.2.3]# make; make install 安裝步驟 (2/2) 轉存 PHP 基本組態檔案： [root @test php-4.2.3]# cp php.ini-dist /usr/local/php4/php.ini? 和 “--with-config-file-path” 設定有關 將 php.ini 裡register_global設成on (視情況而定，之後會再說明) 啟動 Apache 當中的 PHP 選項： [root @test php-4.2.3]# vi /usr/local/apache2/conf/httpd.conf 確認可以找到底下兩行：?? LoadModule php4_module modules/libphp4.so??? AddType application/x-httpd-php .php?.phtml 重新啟動 Apache ： [root @test php-4.2.3]# /usr/local/apache2/bin/apachectl stop [root @test php-4.2.3]# /usr/local/apache2/bin/apachectl (注意: 不要用”restart”的選項) 伺服器設定注意事項 (1/2) Register_globals參數之設定 原因 經Web傳送的變數其namespace跟 普通的變數相同 駭客可能會嘗試設定一些變數的值， 而因此取得權限 範例說明： 解決方法 PHP4.2.0以後的版本default設為”off” 可能需要修改之前的程式(見範例二) 如果使用者不想修改的話，可以利用 .htaccess (但server必須設定 AllowOverride) php_flag register_globals On php_flag track_vars Off 伺服器設定注意事項 (2/2) 假如一定要將register_globals設成”on” 例如修改範圍太廣，工程浩大 解決方法 不要使用由client端傳來的值 利用HTTP_GET_VARS、 HTTP_POST_VARS， HTTP_COOKIE_VARS， 和 HTTP_POST_FILES等變數以確定資料來源正確 遠端檔案存取 使php程式可以讀取遠端的檔案 範例 危險在哪裡? 駭客在自己的電腦上開啟一個同名的檔案，內容如下 將$libdir設為”http://evilhost/” 檔案上傳 (1/2) 檔案上傳功能隱藏之危險 範例 假設可讓使用者上傳檔案，然後再將檔案加以壓縮，並儲存到特定的目錄 檔案上傳 (2/2) 使用者自己touch一個檔案 紅色部分所代表的意義 上傳檔案之後實際發生之結果 Session的問題 有問題的情況 Session變數可能會被改變 必須在變數註冊之前改變其值 其他注意事項 (1/2) 妥善放置重要資料 放在web server request存取不到的地方(即d