规则 1：绝不要信任外部数据或输入
;Z!C:w!Y.I;Q @$`程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
7N,W,d.|3e*a+{程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛关于 Web 应用程序安全性，必须认识到的第一件事是不应该信任外部数据。外部数据（outside data） 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前，来自任何其他来源（比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie）的任何数据都是不可信任的。
5M0V)C-B"M {$T2otech.techweb.com.cn.N0}.i8I5D-q
例如，下面的数据元素可以被认为是安全的，因为它们是在 PHP 中设置的。tech.techweb.com.cn8z0?8_8z(Z"z.z

$?#J-\4Z-Y+bTechWeb-技术社区
:C(f,~7K.o8HTechWeb-技术社区清单 1. 安全无暇的代码
/G!S8q9c)G6w-O1@TechWeb-技术社区,C'w9u6k*S${
<?php't-]$N5v8X g+`4\:F!r }
$myUsername = 'tmyer';TechWeb-技术社区!X2v4w7k%\"z!W3n0G*u'r
$arrayUsers = array('tmyer', 'tom', 'tommy');
8}%u&n7R%[/H程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛define("GREETING", 'hello there' . $myUsername);
9@.J9P!V6GTechWeb-技术社区?>TechWeb-技术社区 |)l-H)F1G.?9i;E2c

,b5h9U-]/h&e但是，下面的数据元素都是有瑕疵的。程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛+y5^!q/d;p2J

5H(O/B m3z0c程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛清单 2. 不安全、有瑕疵的代码TechWeb-技术社区 q-D!h;o;^:]#J!r
&E4e*d$B&^!y7L
<?php3{(V$_9J3e3J2v&d
$myUsername = $_POST['username']; //tainted!
*G-B*S2r0O#B/E9~-O-l$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!
&M:@7w4p*o&A J"Jtech.techweb.com.cndefine("GREETING", 'hello there' . $myUsername); //tainted!
.v8d"J7g:\?>
/H;W7e7D(Z.A2d-g:a'E%f程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(`,A a/Q,j9Z4a0Z/C#f8f
为 什么第一个变量 $myUsername 是有瑕疵的？因为它直接来自表单 POST。用户可以在这个输入域中输入任何字符串，包括用来清除文件或运行以前上传的文件的恶意命令。您可能会问，“难道不能使用只接受字母 A-Z 的客户端（Javascrīpt）表单检验脚本来避免这种危险吗？”是的，这总是一个有好处的步骤，但是正如在后面会看到的，任何人都可以将任何表单下载 到自己的机器上，修改它，然后重新提交他们需要的任何内容。
(M.j X$}8ZTechWeb-技术社区3w9}2B:R1S6U%T7L:z J)R
解决方案很简单：必须对 $_POST['username'] 运行清理代码。如果不这么做，那么在使用 $myUsername 的任何其他时候（比如在数组或常量中），就可能污染这些对象。
9n,F:o%_2X'w
8^'a;W s8F*A8n:s#v-ATechWeb-技术社区对用户输入进行清理的一个简单方法是，使用正则表达式来处理它。在这个示例中，只希望接受字母。将字符串限制为特定数量的字符，或者要求所有字母都是小写的，这可能也是个好主意。
:[-P6X4R.Q-t
6E5r'G4J7y8u$Mtech.techweb.com.cn清单 3. 使用户输入变得安全程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛:c#D-K9m!s+[2E
TechWeb-技术社区+T&|#C9e+n0`$m
<?php
5X'f:Y([2~#s!i$i$myUsername = cleanInput($_POST['username']); //clean!*A%j:m6y(A5C)F*[
$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!7F5M*C+H)v%Z5Z:F
define("GREETING", 'hello there' . $myUsername); //clean!0`.?6V1@7b:w4V
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛#I!c0t k1j
function cleanInput($input){
'o0D5l `,F+|${:R7^3k    $clean = strtolower($input);tech.techweb.com.cn9I-~%f5h.H6V%h;x6x)v
    $clean = preg_replace("/[^a-z]/", "", $clean);TechWeb-技术社区#u&j(_"n/t8~*` Y'Y*~
    $clean = substr($clean,0,12);
1|+C*N+A,q6w/u8O;k    return $clean;)m&r)r4S/E4C*y w(I
}
)Y!y:t.U!e1O!x&S3h?>

规则 2：禁用那些使安全性难以实施的 PHP 设置
*I0e,E `%[8b-r!r)p9a4^
z-y0k)P2t8m&r已经知道了不能信任用户输入，还应该知道不应该信任机器上配置 PHP 的方式。例如，要确保禁用 register_globals。如果启用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替换同名的 GET 或 POST 字符串。通过禁用这个设置，PHP 强迫您在正确的名称空间中引用正确的变量。要使用来自表单 POST 的变量，应该引用 $_POST['variable']。这样就不会将这个特定变量误会成 cookie、会话或 GET 变量。
%U#_;f4v$I2{(v0u7P.O2y6b
8I![*B5G8?+~*`5W$K
规则 3：如果不能理解它，就不能保护它
$Y#y:}9{#W"u%w"Qtech.techweb.com.cn
}9Z(V+s'o7a!s(y一些开发人员使用奇怪的语法，或者将语句组织得很紧凑，形成简短但是含义模糊的代码。这种方式可能效率高，但是如果您不理解代码正在做什么，那么就无法决定如何保护它。TechWeb-技术社区:Y:f1Q1`,X:p2o

0y'V)S&y#xtech.techweb.com.cn例如，您喜欢下面两段代码中的哪一段？
4J%K.G9w:ytech.techweb.com.cn.s,~2U-y&?
清单 4. 使代码容易得到保护3H,s3s4b O'm"q
tech.techweb.com.cn K)A0F*{9d7Y"t5Y
<?php }0@4u+y3Y.X.y#T1L
//obfuscated code
2R9Z&U(a#T9l,E:j4p$input = (isset($_POST['username']) ? $_POST['username']:'');9S6M/y;o(b+c,W

5c!S2t1e8M'|//unobfuscated code
)C1E5F&?-Z(W%[2J程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛$input = '';-d3R9s$h,S0b5s+E4{

:k&?3p3_.m/w1n5T6|(`)_if (isset($_POST['username'])){
3?1Z5k.j(h5T程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    $input = $_POST['username'];程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛!_$a:^;O k*z'Q
}else{
2N.Q0H*_1`&n%C#jTechWeb-技术社区    $input = '';
8q*? D#o,J7[6_8Z.e&A2t$@5d}tech.techweb.com.cn5b/U9Y({4R/@
?>
(A6S.w.A9@;n$r8A5V;w6p6a-H-R
在第二个比较清晰的代码段中，很容易看出 $input 是有瑕疵的，需要进行清理，然后才能安全地处理。
2c"?/Y)i.})i4n+o8O
"P(t.b,R U-N$JTechWeb-技术社区
+]-q1L6i7d8jtech.techweb.com.cn规则 4：“纵深防御” 是新的法宝
,c7B'D;f$N'_ r:P7P程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
)p6T%^1D P'E(x'{2m8d本教程将用示例来说明如何保护在线表单，同时在处理表单的 PHP 代码中采用必要的措施。同样，即使使用 PHP regex 来确保 GET 变量完全是数字的，仍然可以采取措施确保 SQL 查询使用转义的用户输入。
9g4Y9J1H C5L4F(]
;Q)U3v1P!^-f$F(f程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛纵深防御不只是一种好思想，它可以确保您不会陷入严重的麻烦。/E2y3H7f"Z-I&n7|/M$\7l

$~6x!?9w.L#x"C4x W*O既然已经讨论了基本规则，现在就来研究第一种威胁：SQL 注入攻击。
2h#o"u8s5R"z4];_-K3g2}

6c!~5W7c!ATechWeb-技术社区(~)z%J'J&D7^#L(x

8?)E P'x4P;]5k:Ftech.techweb.com.cn防止 SQL 注入攻击(Y7T$@!?!m)\,I4w;q#r2\*Q

&T(u#w)l%H4l$~tech.techweb.com.cn在 SQL 注入攻击 中，用户通过操纵表单或 GET 查询字符串，将信息添加到数据库查询中。例如，假设有一个简单的登录数据库。这个数据库中的每个记录都有一个用户名字段和一个密码字段。构建一个登录表单，让用户能够登录。5k%O"H4S3D4}7|
8G4t%f!J3Q1x0M$l6I5p+@
清单 5. 简单的登录表单
M:b5Z1M1B"[$o;z%^tech.techweb.com.cn
3w8q6v:D!|#T5](y6f<html>4O4S#H8U*?+C"^
<head>
;l*r$^8v9J8]程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<title>Login</title>
#H%U:b#e5T5U(A3KTechWeb-技术社区</head>
4t.x5Z*f'f:T"@"u3R)E程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<body>TechWeb-技术社区 d*_1R;R)W&R-z
<form action="verify.php" method="post">程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛$M&B#H8~ b8u,i9S8C
<p><label for='user'>Username</label>9E!i7{+E#L.s(q2p!G
<input type='text' name='user' id='user'/>
5k+x'K(^2Y!N5\6V</p>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛&s$i&S%[&^&]9C+k
<p><label for='pw'>Password</label>
$W6n6?)y9z7F9|<input type='password' name='pw' id='pw'/>
"d6N8C6t.W R$E&p'h6y</p>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛;x*@!V/K"{4@;A ?$V
<p><input type='submit' value='login'/></p>
2E%W#_/\"A#w8T1H程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛</form>
%Z7q1_4{8?+D9m"X程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛</body>
-F.W#Z-O)K)S6g!]1~7jtech.techweb.com.cn</html>
-@2?8[8t.b程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛6g:f#r5w)N5A'K2W
这个表单接受用户输入的用户名和密码，并将用户输入提交给名为 verify.php 的文件。在这个文件中，PHP 处理来自登录表单的数据，如下所示：
)L:x;g%_+~ g,P1x2Y6k'Xtech.techweb.com.cntech.techweb.com.cn.m2q%I0@)w+o7s
清单 6. 不安全的 PHP 表单处理代码(h:^4}0n%\"c)v
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛"h$J7@;f$f
<?php
8v't#B4h.q"j"\2H$g程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛$okay = 0;,[%n8K8{)m$j-A%m.z
$username = $_POST['user'];"P c2w2a#\6w"P1t/J&D
$pw = $_POST['pw'];
-F%d9l.]-U-i3y L:t3R)i5o程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛"u3^#k$z.z"p5o
$sql = "select count(*) as ctr from users where username='".$username."' and password='". $pw."' limit 1"; tech.techweb.com.cn4C8l;j"e-Y W
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛0y"P/a6n)I2Z"h5K5b
$result = mysql_query($sql);
6W1d+_2O5d
,Q;u X:l9p9x'WTechWeb-技术社区while ($data = mysql_fetch_object($result)){tech.techweb.com.cn"n*h)f-I9["@0Y6l"V
    if ($data->ctr == 1){TechWeb-技术社区)[.H9Y.[1r#W2a&t0w
        //they're okay to enter the application!tech.techweb.com.cn2L.r I3r9v
        $okay = 1;
5o1s)o8W&['G!s&Ytech.techweb.com.cn    }TechWeb-技术社区$f+R3X$]"k&V7P-z
}
7J U'R#\:c,GTechWeb-技术社区6w/u4e"J9^
if ($okay){
;@2y7a2E,G    $_SESSION['loginokay'] = true;
9~1o$u'Z1P(H.[#RTechWeb-技术社区    header("index.php");TechWeb-技术社区7]%s#D.p6J,P.W8Z1[3T
}else{TechWeb-技术社区'K&P)R%i+\'v.s
    header("login.php");$s+~1U3I1H!S-N
}
2`-K9p;g8s2a9Htech.techweb.com.cn?>;H*L8Y#g0N |.t,J&w.r

'U+^(F0q;@'Atech.techweb.com.cn这 段代码看起来没问题，对吗？世界各地成百（甚至成千）的 PHP/MySQL 站点都在使用这样的代码。它错在哪里？好，记住 “不能信任用户输入”。这里没有对来自用户的任何信息进行转义，因此使应用程序容易受到攻击。具体来说，可能会出现任何类型的 SQL 注入攻击。TechWeb-技术社区3j/j+h.b7h0Z#]
TechWeb-技术社区&i,d7r)v2\;U1`0}1}
例如，如果用户输入 foo 作为用户名，输入 ' or '1'='1 作为密码，那么实际上会将以下字符串传递给 PHP，然后将查询传递给 MySQL："l7\*{9U1G2J

$f3f2B&Q*~8T%y#^;y-U<?php tech.techweb.com.cn-a a,n9Q-J#A;^
$sql = "select count(*) as ctr  from users where username='foo' and password='' or '1'='1' limit 1"; 程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛1H)V"B$s9Q*r H#Z7r
?>
%H4S7u;l9a6R2I+i2V
5t,i5K6D+\ g/H4h2q9{这个查询总是返回计数值 1，因此 PHP 会允许进行访问。通过在密码字符串的末尾注入某些恶意 SQL，黑客就能装扮成合法的用户。)p%_7m6E-T:n
TechWeb-技术社区+b*m:N0h:?(t*@,E/J
解 决这个问题的办法是，将 PHP 的内置 mysql_real_escape_string() 函数用作任何用户输入的包装器。这个函数对字符串中的字符进行转义，使字符串不可能传递撇号等特殊字符并让 MySQL 根据特殊字符进行操作。清单 7 展示了带转义处理的代码。
9|/H4p8`8r/E4N&D7]2n
)M4[-d:T e6w*|#t"R&t%h#jtech.techweb.com.cn清单 7. 安全的 PHP 表单处理代码TechWeb-技术社区.},U#t*L3m)} ]
TechWeb-技术社区8|;\5k6@)m1w!{8O#g
<?php程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛:U:i7U7[:y(i&A
$okay = 0;
*H0O!L7N4J4v"a%v!W程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛$username = $_POST['user'];程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛:c3l _%H*z
$pw = $_POST['pw'];
#D"X!g$f*P4j6f:B9M1@*~-i1p)k-H*L8Q
$sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". mysql_real_escape_string($pw)."' limit 1";
!~9f+T1t&c*M1U;Ztech.techweb.com.cnTechWeb-技术社区"h$e0?+n-y-]+{'y7z+n
$result = mysql_query($sql);
-u3{9t(]!{8K)g!F4v-@tech.techweb.com.cn
$w*`0{,[-h ~*j'L0Jtech.techweb.com.cnwhile ($data = mysql_fetch_object($result)){tech.techweb.com.cn-h+b)?-n:]-F6I0t)F-i
    if ($data->ctr == 1){
6O#G(A3q*E%I-_,[ q        //they're okay to enter the application!
:d+l*f0j;F1Z2_!D        $okay = 1;
.K;Q-f!P0^-G7k    }%|&m!e"z8i5y(W/]
}!v)W7s7G&[,J$i6h1K*o

$i6Q9e"B3i*t,|1t;g1Kif ($okay){,N*m:y;C1w#J4_9?*\({%m @
    $_SESSION['loginokay'] = true;"b2E'e3A*\)n0x4u
    header("index.php");程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛3N)y4[6S1O;E$s D4v6C"t;l
}else{程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛,l.O%F2G+t4u1{)b
    header("login.php");tech.techweb.com.cn"R8M ^ e9k
}%E1I7D'F(W(\/a u8H
?>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛9@:i8o0B'z
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛8g(f0?,T2@2U
使用 mysql_real_escape_string() 作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。如果用户尝试通过 SQL 注入传递畸形的密码，那么会将以下查询传递给数据库：
&r0L.n5K0U!U#P3v"T-`2\tech.techweb.com.cn#W8r0v5Z7}$|
select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1' limit 1"
7]-?:n/a!b+k"d7I7T2Atech.techweb.com.cn
6M;b9J+W'y7f7Y2e7Z7r"z1h(~数据库中没有任何东西与这样的密码匹配。仅仅采用一个简单的步骤，就堵住了 Web 应用程序中的一个大漏洞。这里得出的经验是，总是应该对 SQL 查询的用户输入进行转义。TechWeb-技术社区&\#o(y"o$E"d(Y
%R3D:|5c1P+B+c:[
但是，还有几个安全漏洞需要堵住。下一项是操纵 GET 变量。

防止用户操纵 GET 变量
4v-~-B"D(_7]%t;D2N
+p O5k5V!R(m在前一节中，防止了用户使用畸形的密码进行登录。如果您很聪明，应该应用您学到的方法，确保对 SQL 语句的所有用户输入进行转义。
3}-t5U4P5@1Atech.techweb.com.cn
8V&]1O#c'F但 是，用户现在已经安全地登录了。用户拥有有效的密码，并不意味着他将按照规则行事 —— 他有很多机会能够造成损害。例如，应用程序可能允许用户查看特殊的内容。所有链接指向 template.php?pid=33 或 template.php?pid=321 这样的位置。URL 中问号后面的部分称为查询字符串。因为查询字符串直接放在 URL 中，所以也称为 GET 查询字符串。*h1S8Y9F)?.u V4n$M4e
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-Z4I(@.z6]+`4@
在 PHP 中，如果禁用了 register_globals，那么可以用 $_GET['pid'] 访问这个字符串。在 template.php 页面中，可能会执行与清单 8 相似的操作。
;d9V/W+\&?(G;d9H!z%y)N2r"]
清单 8. 示例 template.phptech.techweb.com.cn*?-P8C*E.`&?)n$^3n
7z7k3G8V1Z0L3\,A,e
<?php
'i-i2Z#^;{*s,z$pid = $_GET['pid'];程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛&W-P0~)S:C;q7@+@$j0j)D

G6~(Q9c3o6?:z1r,x5M程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛//we create an object of a fictional class Page
%H9A1T4m*~1U;v3u程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛$obj = new Page;5x*i"q;V6a8}7z5K6~7B
$content = $obj->fetchPage($pid);
4p4i9K8G6s6Ctech.techweb.com.cn//and now we have a bunch of PHP that displays the pageTechWeb-技术社区!N5G#G&U(G C
?>8j6P$v;T T9h5?&?'s
"j3w:g+y&q0J.H
3y,|-t,\8Y/Z5D4H
TechWeb-技术社区&^3~,|7i!C)p9y.U
这 里有什么错吗？首先，这里隐含地相信来自浏览器的 GET 变量 pid 是安全的。这会怎么样呢？大多数用户没那么聪明，无法构造出语义攻击。但是，如果他们注意到浏览器的 URL 位置域中的 pid=33，就可能开始捣乱。如果他们输入另一个数字，那么可能没问题；但是如果输入别的东西，比如输入 SQL 命令或某个文件的名称（比如 /etc/passwd），或者搞别的恶作剧，比如输入长达 3,000 个字符的数值，那么会发生什么呢？tech.techweb.com.cn5i0|!\'m5Q%]8a/h7y2B6j
)D#N!p,u'[(w/s"U
在这种情况下，要记住基本规则，不要信任用户输入。应用程序开发人员知道 template.php 接受的个人标识符（PID）应该是数字，所以可以使用 PHP 的 is_numeric() 函数确保不接受非数字的 PID，如下所示：程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛7j-B/@&y3H&y4J
-l2^.v8^&\+d
清单 9. 使用 is_numeric() 来限制 GET 变量.S8m,g*P7R!m&n+p7s&u

!D2d![2R#w*i+y/H<?phptech.techweb.com.cn }0L)T J(M
$pid = $_GET['pid'];程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛#~2P)d'K!d7L

%l8J2O2`2m4?if (is_numeric($pid)){7?1j'J/h8\;Z'z4|3B
    //we create an object of a fictional class Page程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-q0T't;s:A;m#?7Z3v
    $obj = new Page;
(X*W+~+R&i*g%k7G    $content = $obj->fetchPage($pid);TechWeb-技术社区/`2\,b7I*H(N:f
    //and now we have a bunch of PHP that displays the page程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛2|"^1p,Y4j)m
}else{
'c Y%G4g0R/n&Y$]&D#\tech.techweb.com.cn    //didn't pass the is_numeric() test, do something else!$i!x6}+S5f3o#q
}+L*s2Y(f&B+b"w
?>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛%u8R+r&j1v)j5i9W
tech.techweb.com.cn&q8S$a1C"^,E#^
这个方法似乎是有效的，但是以下这些输入都能够轻松地通过 is_numeric() 的检查：
-Q;K)_5l4P4|
9`8h,m7u9D7n/T.aTechWeb-技术社区100 （有效）7b1q!d:i:\"?
100.1 （不应该有小数位）程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(E([1^;p,x
+0123.45e6 （科学计数法 —— 不好）
$Q,O-f"I-D/[#P程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛0xff33669f （十六进制 —— 危险！危险！）!h;b0]7A,J0J.~2^(b:Z

+z'\7q(`#v(n#V.U0WTechWeb-技术社区那么，有安全意识的 PHP 开发人员应该怎么做呢？多年的经验表明，最好的做法是使用正则表达式来确保整个 GET 变量由数字组成，如下所示：*Y B,a5v(V!s

;t*l D4Z'}程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛清单 10. 使用正则表达式限制 GET 变量TechWeb-技术社区!E7N.z o0o+T)j.?:v!~

/L"U'`-m5D,{程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<?php
;S$v!P7[*W7I.`*f7oTechWeb-技术社区$pid = $_GET['pid'];
$j2B!_3W!stech.techweb.com.cn
-e1e;W&B#y*Q:h2e3l(fif (strlen($pid)){
;f$R9k:y:N:x程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    if (!ereg("^[0-9]+$",$pid)){-R&d#Q5t%p q.l&C%L
        //do something appropriate, like maybe logging them out or sending them back to home page
&Z:m:@._;X'Y8}#Y程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    }/G&s)r"G9C8f&c7d!N#e
}else{
2s8M:U:C7t3s.UTechWeb-技术社区    //empty $pid, so send them back to the home page
0x2x2b9b:|,m-L(E6b程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛}TechWeb-技术社区.k${4I"O$r9j%n5b
q5N6|&a0Z&O
//we create an object of a fictional class Page, which is now0~,K E-o,Q;A8f9_
//moderately protected from evil user input
"J3X0v8g:Itech.techweb.com.cn$obj = new Page;程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛*U$_/}-L7Q4x4Q
$content = $obj->fetchPage($pid);
$Y$I)s+k'Ytech.techweb.com.cn//and now we have a bunch of PHP that displays the page
'Y,_(|"Y2X?>
%N6}'b;l ^+o&J&V:g2u E5T1T&|$s%{
需 要做的只是使用 strlen() 检查变量的长度是否非零；如果是，就使用一个全数字正则表达式来确保数据元素是有效的。如果 PID 包含字母、斜线、点号或任何与十六进制相似的内容，那么这个例程捕获它并将页面从用户活动中屏蔽。如果看一下 Page 类幕后的情况，就会看到有安全意识的 PHP 开发人员已经对用户输入 $pid 进行了转义，从而保护了 fetchPage() 方法，如下所示：:M2`8I3]/B:p#b7O;N

'z5k,u-E&U3U4],j7g9GTechWeb-技术社区清单 11. 对 fetchPage() 方法进行转义+k/P/l;}%f"K ]4k9X+\

2?/^&`#p3y<?php
1J.H'^-n:S/[(]7P4_%b$Cclass Page{5k8c'S7R2|.G,d
    function fetchPage($pid){
$n0} {!z(V._)Q4j)R,}1Z        $sql = "select pid,title,desc,kw,content,status from page where pid='".mysql_real_escape_string($pid)."'";
"S:H r2F9u*].O    }
o0B1d"M)@'I&g"\"U程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛}
)s!M m*s0k+q?>
*g:r/g(a.n
$Y0v#a8w'D.c3_*~tech.techweb.com.cn您可能会问，“既然已经确保 PID 是数字，那么为什么还要进行转义？” 因为不知道在多少不同的上下文和情况中会使用 fetchPage() 方法。必须在调用这个方法的所有地方进行保护，而方法中的转义体现了纵深防御的意义。TechWeb-技术社区(y4}"c6p"\ d4~;E
tech.techweb.com.cn"Z6` Q"`9w5Z/R)F
如 果用户尝试输入非常长的数值，比如长达 1000 个字符，试图发起缓冲区溢出攻击，那么会发生什么呢？下一节更详细地讨论这个问题，但是目前可以添加另一个检查，确保输入的 PID 具有正确的长度。您知道数据库的 pid 字段的最大长度是 5 位，所以可以添加下面的检查。

清单 12. 使用正则表达式和长度检查来限制 GET 变量
6t:x,O)k)e-eTechWeb-技术社区
9G T/w o"x4Ztech.techweb.com.cn<?phptech.techweb.com.cn9r.X"~+J5g'Z2k.g1s-Z
$pid = $_GET['pid'];
:W,h"g(m7j)Z+e']/wTechWeb-技术社区!Q2S!S*N7A
if (strlen($pid)){
:v%a#G3Q1b"v:~)H(S;_tech.techweb.com.cn    if (!ereg("^[0-9]+$",$pid) && strlen($pid) > 5){tech.techweb.com.cn&Z6T!M5W(M0V*n
        //do something appropriate, like maybe logging them out or sending them back to home page
3a1U)j-~#q%c7E6@&a    }
0V3@9I*S;V!`:m*T0s/rtech.techweb.com.cn} else {程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛6?+w#t/b*P6S!Y7Y9x
    //empty $pid, so send them back to the home page
9s'_7v(w6Y"C(]/h7B,l,W程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛}程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(~0|!K%S R!N*q3K
    //we create an object of a fictional class Page, which is nowTechWeb-技术社区!A.A*b7D"O.{1O7Z
    //even more protected from evil user input$d7x1c"U'{;\
    $obj = new Page;
2E,D h4N"f%D:PTechWeb-技术社区    $content = $obj->fetchPage($pid);7j5H(}6}.O7G7R!`$Q
    //and now we have a bunch of PHP that displays the page程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-^0_3E6b3p0R-\*C,I
?>
c8k$N6E:j5O程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛5}4{5y6i%C#q.z-[
现在，任何人都无法在数据库应用程序中塞进一个 5,000 位的数值 —— 至少在涉及 GET 字符串的地方不会有这种情况。想像一下黑客在试图突破您的应用程序而遭到挫折时咬牙切齿的样子吧！而且因为关闭了错误报告，黑客更难进行侦察。2^'x#o L0@&|-]8h

:W2N1O&N1O,l#Z程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛 $k1Q4V/o'r#{)v6m5i8b
2J-V9]+e(a+]:M;o$Y
TechWeb-技术社区4[:n-u3L2V)P }9F
缓冲区溢出攻击TechWeb-技术社区*v4U1I"A-q;^

$S Q"H.~ Q1f$f#n$^程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛缓冲区溢出攻击 试图使 PHP 应用程序中（或者更精确地说，在 Apache 或底层操作系统中）的内存分配缓冲区发生溢出。请记住，您可能是使用 PHP 这样的高级语言来编写 Web 应用程序，但是最终还是要调用 C（在 Apache 的情况下）。与大多数低级语言一样，C 对于内存分配有严格的规则。
&P0v%t'O8\$m+u&G6R程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
7M6j'S%L'r:c&Z:y#F缓冲区溢出攻击向缓冲区发送大量数据，使部分数据溢出到相邻的内存缓冲区，从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。tech.techweb.com.cn1v2P0W/|;`7d6S
"|0o$N#F/Q"n.e
防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。例如，如果有一个表单元素要求输入用户的名字，那么在这个域上添加值为 40 的 maxlength 属性，并在后端使用 substr() 进行检查。清单 13 给出表单和 PHP 代码的简短示例。
1@&E:e$k,n#u9K'^([,E \*x/a3Z5R
清单 13. 检查用户输入的长度程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛7k0[3V2W(B2d!S

7t*X9\#`9e,?'p程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<?php
5~'x7i0M6i;Q5o A7x3FTechWeb-技术社区if ($_POST['submit'] == "go"){
2_&@.M6V0CTechWeb-技术社区    $name = substr($_POST['name'],0,40);
3{3?.Q&C&~%P%tTechWeb-技术社区}-H9V9^2D+_3W7|'n't
?>TechWeb-技术社区,_8f5U5G5d2E'H.g
!a"X:e;L,X(y!L
<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛#H"l+j6\'b)m/f.a8J
<p><label for="name">Name</label>TechWeb-技术社区5p1O8o7Z5G%]&o%X&d1~ k
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
+d!B0n*J8s%D<p><input type="submit" name="submit" value="go"/></p>9Y2R0x1o!Q5R9H+{
</form>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛/}-z/l'a-i:B,D
,u8q;L*I0p"B1c
为 什么既提供 maxlength 属性，又在后端进行 substr() 检查？因为纵深防御总是好的。浏览器防止用户输入 PHP 或 MySQL 不能安全地处理的超长字符串（想像一下有人试图输入长达 1,000 个字符的名称），而后端 PHP 检查会确保没有人远程地或者在浏览器中操纵表单数据。
']1T$s3[4w$d
8f"Z-l.|;g1i%C!M3n$\ Stech.techweb.com.cn正如您看到的，这种方式与前一节中使用 strlen() 检查 GET 变量 pid 的长度相似。在这个示例中，忽略长度超过 5 位的任何输入值，但是也可以很容易地将值截短到适当的长度，如下所示：程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛%f$d1k,f+k8e,m2z5k1p8g'Q
tech.techweb.com.cn7d4O7]%v#J"r"c1z
清单 14. 改变输入的 GET 变量的长度tech.techweb.com.cn/A8^"k {:z-o#|
TechWeb-技术社区-m:H4~$G*E)}'_
<?php2Z4\)}*k6g#h;S4e
$pid = $_GET['pid'];TechWeb-技术社区7P&d;\.p,w#i

7w#c4`'i!bif (strlen($pid)){
.~1T1u%V1V%[;i'N    if (!ereg("^[0-9]+$",$pid)){
#a1n+n;^;m;k0W$ltech.techweb.com.cn        //if non numeric $pid, send them back to home pagetech.techweb.com.cn0x1^*?7S"p5d;v7e
    }
*|"u b7_8D:q0l$htech.techweb.com.cn}else{程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛$V3{:Q8i;^4G*v!n
    //empty $pid, so send them back to the home page%O0`(q/B'F0\9^.D8Y
}
1K:o ~ O0L$\3k"p
:S2m8j:S4o%RTechWeb-技术社区    //we have a numeric pid, but it may be too long, so let's check
'G&y%P0{*f:s"p程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    if (strlen($pid)>5){7j*l$Q;p5y6s
        $pid = substr($pid,0,5);%r1a;x$C,c7M#s4F
    }+Z%A,z(D&W
2{:D7};t3K
    //we create an object of a fictional class Page, which is now
-F0?*_:f(p;X%R)a-j程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    //even more protected from evil user input
6A+G#v"c#w$j9E,f4{8w(DTechWeb-技术社区    $obj = new Page;
(l'o'h+Z!}7g A$o c    $content = $obj->fetchPage($pid);
3V3[!K0o9}"u#t7A-l2m    //and now we have a bunch of PHP that displays the page)c A/H,R5D5s9[3d1s;?
?>8l;Y:_,C7w.g
TechWeb-技术社区4J"|1M+G&a-J6G&B
注 意，缓冲区溢出攻击并不限于长的数字串或字母串。也可能会看到长的十六进制字符串（往往看起来像 \xA3 或 \xFF）。记住，任何缓冲区溢出攻击的目的都是淹没特定的缓冲区，并将恶意代码或指令放到下一个缓冲区中，从而破坏数据或执行恶意代码。对付十六进制缓 冲区溢出最简单的方法也是不允许输入超过特定的长度。#c8e*R%P"v)s0@#_9Q

)M7v$f#j5m4D7j;Z+y如果您处理的是允许在数据库中输入较长条目的表单文本区，那么无法在客户端轻松地限制数据的长度。在数据到达 PHP 之后，可以使用正则表达式清除任何像十六进制的字符串。
8_ T0d/x"J
.u*B/W.R$t)c3b$hTechWeb-技术社区清单 15. 防止十六进制字符串TechWeb-技术社区"x:S D;f(|"C,t0t

7B+^'D$G$]4c.t'qtech.techweb.com.cn<?php
9Q C5n,L!Etech.techweb.com.cnif ($_POST['submit'] == "go"){tech.techweb.com.cn q&p%w;g'O
    $name = substr($_POST['name'],0,40);
1q-N:m'z"l!}4o-O g    //clean out any potential hexadecimal characters9r%n8g1N9_
    $name = cleanHex($name);tech.techweb.com.cn*k8_+C:R4F-?7T:t#x
    //continue processing....%Q$^!i4@8K%T u"y-S,z
}tech.techweb.com.cn&q.V1@8D!E#z"i&Y

&G4a&R(M6ktech.techweb.com.cnfunction cleanHex($input){:q'g$g!~0]!b
    $clean = preg_replace("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);tech.techweb.com.cn+v,[9]%w0@'v;D&c7J,[;@
    return $clean;
3g-h8y.J0L)P#}.z$M}+j!e(s8w%z7y(|
?>TechWeb-技术社区7R'i8i*M*A'O-\
<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">$y1A:\)n8m+{2m(l
<p><label for="name">Name</label>TechWeb-技术社区-Y0K*^*m2{-^2U%\(b"Q
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>(|/a8A(Y3U6~4A"Y
<p><input type="submit" name="submit" value="go"/></p>
5l K7i.o2a.p.Q,B"Rtech.techweb.com.cn</form>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(X/_1{ ?7I(G$z$C
1s/n4|*j g5q*d
您 可能会发现这一系列操作有点儿太严格了。毕竟，十六进制串有合法的用途，比如输出外语中的字符。如何部署十六进制 regex 由您自己决定。比较好的策略是，只有在一行中包含过多十六进制串时，或者字符串的字符超过特定数量（比如 128 或 255）时，才删除十六进制串。
/U:g C,c6F9N L'[9Q8I8e!Mtech.techweb.com.cn
#b.w-R+S |7h5I'bTechWeb-技术社区 TechWeb-技术社区,B#x!c"\6M2l:}1E
TechWeb-技术社区.Q#W$g']#k9C0l

0R#_ z8a%S7T!etech.techweb.com.cn跨站点脚本攻击程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-|1c0O2E*L
TechWeb-技术社区&^6H%V/l&h7b!e9G/~/b
在跨站点脚本（XSS）攻击中，往往有一个恶意用户在表单中（或通过其他用户输入方式）输入信息，这些输入将恶 意的客户端标记插入过程或数据库中。例如，假设站点上有一个简单的来客登记簿程序，让访问者能够留下姓名、电子邮件地址和简短的消息。恶意用户可以利用这 个机会插入简短消息之外的东西，比如对于其他用户不合适的图片或将用户重定向到另一个站点的 Javascrīpt，或者窃取 cookie 信息。
8J3m.I"F+J6K
,X;@/m%s3s"y5q%A程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛幸运的是，PHP 提供了 strip_tags() 函数，这个函数可以清除任何包围在 HTML 标记中的内容。strip_tags() 函数还允许提供允许标记的列表，比如 <b> 或 <i>。
$}1E!}8]4B9D7h!L
)r6O.I+n,H8X-u v程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛浏览器内的数据操纵
(Z%~6E/J0C,N+P&Z(@!d6C6p;`2}8r*K!C;W'F2A
有一类浏览器插件允许用户篡改页面上的头部元素和表单元素。使用 Tamper Data（一个 Mozilla 插件），可以很容易地操纵包含许多隐藏文本字段的简单表单，从而向 PHP 和 MySQL 发送指令。
s:w"Y0q)C/X9z
0u.~:r(l6\/N9S8C用户在点击表单上的 Submit 之前，他可以启动 Tamper Data。在提交表单时，他会看到表单数据字段的列表。Tamper Data 允许用户篡改这些数据，然后浏览器完成表单提交。
8N'P,u'A)@%n(O5V2v程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛6w-J'}1D0g9|
让我们回到前面建立的示例。已经检查了字符串长度、清除了 HTML 标记并删除了十六进制字符。但是，添加了一些隐藏的文本字段，如下所示：
8d#C)U1M y&}/]8i;G9o-N
*h,L6{4_8R(H,D5M+g/hTechWeb-技术社区清单 17. 隐藏变量 D.k*b*n:v+Z$E5S
;G+z"t1e7\(W C3H
<?php(f$H8o*B;z5t
if ($_POST['submit'] == "go"){tech.techweb.com.cn$^#\"e'Z:~
    //strip_tags-a9t0a:b+Q$_,A r8q
    $name = strip_tags($_POST['name']);%f;n$j*t+|*F
    $name = substr($name,0,40);
7@3B%y']:K:m%A:N"?(@程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛    //clean out any potential hexadecimal characters!o"}4}4P7M:?!O"k7]2A
    $name = cleanHex($name);tech.techweb.com.cn:M9|#e3H/M%y
    //continue processing....
1x4S,N;h2F%{0|!\1J程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛}
4o)T5g,{9v(b;a)}&V.d#Q)e%O;p8I%o
function cleanHex($input){
-s;o;y'D(^-R&L.L/m#h    $clean = preg_replace("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
7u0[*v9M.g;o!^!hTechWeb-技术社区    return $clean;9B)`)^6k"S%b7h*?"~
}
-r)B8m#u#x:H2~+Y?>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(r;q0O1x#x3~
<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">
%@.c2a!p;A9O,C7c$R程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<p><label for="name">Name</label>,r6y"B.L V
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
'a#@+F2e-E,I#g8Ftech.techweb.com.cn<input type="hidden" name="table" value="users"/>TechWeb-技术社区5i0j1t+r6q(u,O
<input type="hidden" name="action" value="create"/>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛9n6e0L:W!{5\9O5k)o8h)g#W
<input type="hidden" name="status" value="live\"/>
/M%G(O*S7p/^3\0o<p><input type="submit" name="submit" value="go"/></p>TechWeb-技术社区1U8[%I'B)N%l0U
</form>5q4l;f4G8]7w*r1k;J5B

9G9L#e2f7t7_&I%m注意，隐藏变量之一暴露了表名：users。还会看到一个值为 create 的 action 字段。只要有基本的 SQL 经验，就能够看出这些命令可能控制着中间件中的一个 SQL 引擎。想搞大破坏的人只需改变表名或提供另一个选项，比如 delete。

现在还剩下什么问题呢？远程表单提交。9b;R/o&X;u&]0X ^
TechWeb-技术社区 D8l:y#t"H!v6G,z(t*{
远程表单提交
3]%S:{+n'O,B6{5L6V程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
5[8x6X4w!A1P*s$Vtech.techweb.com.cnWeb 的好处是可以分享信息和服务。坏处也是可以分享信息和服务，因为有些人做事毫无顾忌。
._*F6I0M-d.H:\,q4b+F
1W,O M3u#X以 表单为例。任何人都能够访问一个 Web 站点，并使用浏览器上的 File > Save As 建立表单的本地副本。然后，他可以修改 action 参数来指向一个完全限定的 URL（不指向 formHandler.php，而是指向 http://www.yoursite.com/formHandler.php，因为表单在这个站点上），做他希望的任何修改，点击 Submit，服务器会把这个表单数据作为合法通信流接收。tech.techweb.com.cn+A$e*]9y&M,g6F5K&_4Y

&P4[,v5w Q0w2c8E8s:wTechWeb-技术社区首先可能考虑检查 $_SERVER['HTTP_REFERER']，从而判断请求是否来自自己的服务器，这种方法可以挡住大多数恶意用户，但是挡不住最高明的黑客。这些人足够聪明，能够篡改头部中的引用者信息，使表单的远程副本看起来像是从您的服务器提交的。
4y6r-F,x,z6Q2d3Q:S9lTechWeb-技术社区
3`8?6_$a#h.h处理远程表单提交更好的方式是，根据一个惟一的字符串或时间戳生成一个令牌，并将这个令牌放在会话变量和表单中。提交表单之后，检查两个令牌是否匹配。如果不匹配，就知道有人试图从表单的远程副本发送数据。
&Y9`3^:p)O)`:R.d-^&g7~5b:c%l6M
要创建随机的令牌，可以使用 PHP 内置的 md5()、uniqid() 和 rand() 函数，如下所示：
5F C%l2y)O+u+~#y'ctech.techweb.com.cn
+w+N%m;{8q7G9a)xtech.techweb.com.cn清单 18. 防御远程表单提交3q%e,f8K%L3d)v
'h(`4U,N;i4^)q,e6r:Q5y&A'E
<?php
/o.a){-y9I5a%W/_/_session_start();tech.techweb.com.cn3c6A%Y!f2[#j
程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛!c(Z,] Q5G.e(j2^,@"^
if ($_POST['submit'] == "go"){tech.techweb.com.cn9t!{8k/S%X#n%`#u*T'v
    //check token:C#f%J2\9j'S
    if ($_POST['token'] == $_SESSION['token']){ s8r H-r2|.Q
        //strip_tags
)z x*\2z/w6F程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛        $name = strip_tags($_POST['name']);3K/G'I(t0i3i
        $name = substr($name,0,40);tech.techweb.com.cn,~4s-K$F;F1w @
        //clean out any potential hexadecimal characters-C:H,D9~7j*F0S&U
        $name = cleanHex($name);
8N6V:m:\!e9m6S6L'N3A程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛        //continue processing....
'?)y!E2U*`&X.htech.techweb.com.cn    }else{
*r:D7q*T0|7i-d6G        //stop all processing! remote form posting attempt!5e-s&F!B4W,P
    }
2@%M&|/G"Q.r*o2V+u/A}0h8v0w3K3e.J3M
$token = md5(uniqid(rand(), true));tech.techweb.com.cn2y9y#o/d6m)p
$_SESSION['token']= $token;
;I$A-H L1XTechWeb-技术社区
,M,u&y-l6X;W3W(~9nfunction cleanHex($input){tech.techweb.com.cn8z9M t/\8S
    $clean = preg_replace("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
+_9O(D4j*l!l5?4k-P!]    return $clean;
3x-n9C9g*O-A6r-L&H.v(g$mTechWeb-技术社区}tech.techweb.com.cn z2z$m"l(Y%m-a
?>
9^!i ?"J6U<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">$N2?$[/C4S.g:D
<p><label for="name">Name</label>
!U/x.]5D.g!w+E7|-w程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
3N7C0J;U!Z"i0B/i4a;v程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛<input type="hidden" name="token" value="<?php echo $token;?>"/>
3x3~(P0c6n#\&mTechWeb-技术社区<p><input type="submit" name="submit" value="go"/></p>
9a*K0_,V6[!O0g</form>程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛%}:f,q,y+o

+A:}9m$N(A2N%P程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛这种技术是有效的，这是因为在 PHP 中会话数据无法在服务器之间迁移。即使有人获得了您的 PHP 源代码，将它转移到自己的服务器上，并向您的服务器提交信息，您的服务器接收的也只是空的或畸形的会话令牌和原来提供的表单令牌。它们不匹配，远程表单提交就失败了。

Hello people, do you like porn muvies? so advice you to visit  pizda huy klitor it's so interesting. May be also
Hello people, do you like porn muvies? so advice you to visit  masturbaciya porney molodye let it's so interesting. May be also
Hello people, do you like porn muvies? so advice you to visit  porno klipy s uchastiem orlovoy ol'gi it's so interesting. May be also
Hello people, do you like porn muvies? so advice you to visit  pornosayt video besplatno it's so interesting. May be also
Hello people, do you like porn muvies? so advice you to visit  pilot porno video skachat' it's so interesting. May be also

Nowadays people are mostly accessible and separated
This episode gives a lot of advantages for a yourselves and makes our zest easier and more fascinating
If you are interested in of age sites, you choice beyond question accept me
Today you can spot all you like in the internet
It was naturally hopeless in aforesaid centuries

Nowadays people are mostly release and apart from
This episode gives a lot of advantages for a individual and makes our zest easier and more enchanting
If you are interested in grown up lesbian videos sites, you last  and testament indubitably accept me
Today you can repossess the whole you like in the internet
It was naturally unworkable in prior centuries

. Don抰 be shy and plunge into this magical world of adult content . This secret often remained undiscovered by some persons even after their marriage, because they were totally ignorant about intimate relationships and their personal life was extremely unsuccessful . Today people are not divided into normal, that is reserved and restrained and those who have special inclinations . There are people who close themselves and pretend to be innocent and annoyingly upright . Today you may not be ashamed of your interests, you can tell them to your friends and acquaintances and they will understand you, because they are same Adult sites can bring you a lot joy and pleasure . It was absolutely impossible in previous centuries . Don抰 deceive yourself and pretend that you are not interested in this sphere Nowadays the situation is quite different . You can develop your intimate sphere and enjoy every its manifestation  
free lesbian video sample

Well...
It's seems a spam. But! Did you ever been here?!
secretpage.tech.techweb.com.cn
Try this 8-) Some pictures of our forum admin...
Why did I tell you that sercet info? Dont know.