php安全性問題中:Null字符的示例分析-創(chuàng)新互聯(lián)

這篇文章將為大家詳細(xì)講解有關(guān)php安全性問題中:Null字符的示例分析，小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

成都創(chuàng)新互聯(lián)基于分布式IDC數(shù)據(jù)中心構(gòu)建的平臺(tái)為眾多戶提供服務(wù)器托管 四川大帶寬租用 成都機(jī)柜租用 成都服務(wù)器租用。

由于 PHP 的文件系統(tǒng)操作是基于 C 語言的函數(shù)的，所以它可能會(huì)以您意想不到的方式處理 Null 字符。 Null字符在 C 語言中用于標(biāo)識(shí)字符串結(jié)束，一個(gè)完整的字符串是從其開頭到遇見 Null 字符為止。 以下代碼演示了類似的攻擊：
Example #1 會(huì)被 Null 字符問題攻擊的代碼

代碼如下:

<?php
$file = $_GET['file']; // "../../etc/passwd\0"
if (file_exists('/home/wwwrun/'.$file.'.php')) {
    // file_exists will return true as the file /home/wwwrun/../../etc/passwd exists
    include '/home/wwwrun/'.$file.'.php';
    // the file /etc/passwd will be included
}
?>

因此，任何用于操作文件系統(tǒng)的字符串（譯注：特別是程序外部輸入的字符串）都必須經(jīng)過適當(dāng)?shù)臋z查。以下是上述例子的改進(jìn)版本：
Example #2 驗(yàn)證輸入的正確做法

代碼如下:

<?php
$file = $_GET['file'];
// 對(duì)字符串進(jìn)行白名單檢查
switch ($file) {
    case 'main':
    case 'foo':
    case 'bar':
        include '/home/wwwrun/include/'.$file.'.php';
        break;
    default:
        include '/home/wwwrun/include/main.php';
}
?>

一個(gè)函數(shù)錯(cuò)誤就可能暴露系統(tǒng)正在使用的數(shù)據(jù)庫，或者為攻擊者提供有關(guān)網(wǎng)頁、程序或設(shè)計(jì)方面的有用信息。攻擊者往往會(huì)順藤摸瓜地找到開放的數(shù)據(jù)庫端口，以及頁面上某些 bug 或弱點(diǎn)等。比如說，攻擊者可以一些不正常的數(shù)據(jù)使程序出錯(cuò)，來探測(cè)腳本中認(rèn)證的順序（通過錯(cuò)誤提示的行號(hào)數(shù)字）以及腳本中其它位置可能泄露的信息。

一個(gè)文件系統(tǒng)或者 PHP 的錯(cuò)誤就會(huì)暴露 web服務(wù)器具有什么權(quán)限，以及文件在服務(wù)器上的組織結(jié)構(gòu)。開發(fā)者自己寫的錯(cuò)誤代碼會(huì)加劇此問題，導(dǎo)致泄漏了原本隱藏的信息。

有三個(gè)常用的辦法處理這些問題。第一個(gè)是徹底地檢查所有函數(shù)，并嘗試彌補(bǔ)大多數(shù)錯(cuò)誤。第二個(gè)是對(duì)在線系統(tǒng)徹底關(guān)閉錯(cuò)誤報(bào)告。第三個(gè)是使用 PHP 自定義的錯(cuò)誤處理函數(shù)創(chuàng)建自己的錯(cuò)誤處理機(jī)制。根據(jù)不同的安全策略，三種方法可能都適用。

關(guān)于“php安全性問題中:Null字符的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。

文章標(biāo)題：php安全性問題中:Null字符的示例分析-創(chuàng)新互聯(lián)
文章位置：http://www.jbt999.com/article24/geoje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、品牌網(wǎng)站設(shè)計(jì)、電子商務(wù)、網(wǎng)站設(shè)計(jì)公司、移動(dòng)網(wǎng)站建設(shè)、營(yíng)銷型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)