使用PHPLIB进行Session的管理和认证

PHPLIB还可以做很多别的事情，例如数据库类。本篇文章只是对PHPLIB的简单介绍。有很多类和功能都没有提到。你可以到http://phplib.netuse.de去获取更多的帮助文档

测试环境:标准环境

　　首先要说明一个事实，用Web页面设计需要保存客户当前状态的程序时极为不便，例如在线Shopping，作为一名程序员，你必须时时面对在各个主页之间传递的状态参数。客户的身份认证、他已做出的选择、他当前的状态等等，Web主页并不会替你保存这些状态信息，你必须自己小心处理这些参数，这给我们带来了太多的不便，利用 http://url?var1=x1&var2=x2 来在主页间传送参数实在太危险，尤其是变量中包含用户注册信息时很轻易被sniff，那么，我们如何解决这个问题呢？

　　PHPLIB解决了这个问题，它是在PHP3上的一个扩展，提供了很多类库，使得程序员能很轻易地建立一个交互式Web站点，PHPLIB最基本的功能包括用户认证，Session治理，权限及数据库的抽象化。

　　安装PHPLIB前你必须在你的服务器上先安装好php3，PHPLIB可以运行在Cgi方式或apache附加模块方式。PHP3的版本必须时在3.0.5之上，PHP3早期版本可以在编译时使用参数 --enable-foce-cgi-redirect来获得支持，假如不这么做的话，会出现安全问题。PHP3的配置中 track_vars 需要设置为 enabled。同时需要一个数据库，PHPLIB支持MySQL、Oracle、ODBC、PostgreSQL、Sybase。

　　第一步，PHPLIB的类库需要根据系统进行初始化，你可以修改local.inc文件，其中包含着一些基本参数，你可以根据自己机器的情况来进行修改。

　　我们说明一下PHPLIB的工作原理，每一个使用PHPLIB的页面首先必须可以找到运行PHPLIB的必须类库文件，我们可以在php3.ini中设置auto_prepend变量来支持，PHPLIB分发包中包含一个prepend.php3文件，将auto_prepend指定为prepend.php3后，各页面就会自动包含PHPLIB类库，我们还可以将PHPLIB类库所在目录加进include变量中，以便可以找到这些文件，当然，最苯的办法就是指定绝对路径，这可不是个好主意！

第二步，每一个使用PHPLIB的页面中，你必须使用函数page_open进行初始化。这会告诉PHPLIB，你现在或将来会用到状态保存。一个典型的page_open例子包含到了认证、Session、权限：

<?php

page_open(array( "sess" => "Cms_Session", "auth" => "Cms_Auth", "perm" => "Cms_Perm"));

?>

　　数组变量(sess,auth,perm)用来初始化一些状态保存对象，注重：必须使用PHPLIB内置名(sess,auth,perm)，这些内置名是你在local.ini中所定义的，page_open函数必须在页面内容输出到浏览器之前被调用。（假如你将来不会用到认证的话，可以不初始化sess），php3脚本最后应以page_close()结束，这将会将有关状态数据写回到数据库中，假如你忘了的话，将会，哈哈哈。。。

　　因为PHPLIB使用了Cookies来保存状态信息，所以page_open()函数必须在页面内容输出到浏览器之前被调用， 这里的页面内容可以是任何HTML信息或者空行，假如你发现了错误"Oops - SetCookie called after header has been sent"，这表明在page_open()之前向浏览器输出了些什么，你要非凡留意空行，因为非常难找到，典型的错误是在< ? 和 ?>标记之间输出了空行，你应检查在local.inc和prepend.php3文件中是否包含了空行，这也是一个非常轻易出错的地方。

　　PHP使用了一种比基本认证方法更为复杂的架构，这使得安全有了更好的保证。

　　举例来说，对于你想要限制访问的页面，会首先使用page_open来调用"auth" => "auth_class" ，初始化认证状态对象后，状态就会被保存起来，随后当客户再访问别的页面的时候，认证系统就会首先检测用户的身份是否已经经过认证。

　　让我们解释一下，当一个用户第一次访问页面时，他的身份未经过认证，PHPLIB会调用一个注册窗口（并非在WINDOWS中的弹出窗口），你可以自己设计注册窗口的样式，当用户输入他的用户名与口令，并按下提交钮后，身份认证工作就开始了，随后的情况有些复杂，让我们慢慢解释……

　　这里分两种情况，假如用户的浏览器不能兼容JavaScript的话，认证工作就象询问嫌疑犯一样，用户名与口令被送往服务器，与存放在那里的数据进行比较。假如用户的浏览器与JavaScript兼容，这就麻烦一些了，PHPLIB首先会在客户端的页面中放入一个用来加密的种子字串，名叫“challenge”，当用户提交该页面时，用户的用户名、口令和challenge字串会使用md5的加密方式进行加密，生成一个加密字串，将该加密字串与用户名提交给服务器。当服务器收到用户名和加密后的字串后，他根据数据库中的用户名与口令和得到的种子进行md5运算，将生成的字串与用户提交的字串进行比较，假如符合的话，说明用户身份是正确的，就答应用户进行随后的访问。这种方法的好处是：用户不用提交密码，这使得认证比较安全。

　　Session 治理

　　其实Session的治理和身份认证非常接近，当一个用户的身份认证过了后，随即用户的session就开始了，假如用户的浏览器支持cookie的话，将会建立一个session的id放入cookie，这个唯一的ID是由PHP3随机生成，然后又用随机种子

字串进行md5加密过了的，这里的cookie应该叫做session cookie，因为这个cookie是不会写到用户硬盘里去的，当一个session进行完的时候，该cookie也被完结了。假如用户浏览器不支持cookie的话，那么 该session的id将会放入url链中，因为是加密过的，所以窃取了也没用。session id存放着用户的有关信息，如用户已认证、认证到期时间、用户权限，和其他一些你可能需要的信息，方便我们取用。

　　Session其实就是用户一次会话的过程。Session的治理并不是仅仅用来跟踪用户的注册，实际上，它还可以脱离认证来使用，你可以用它来存储任何你想要存贮的信息，这些信息可以在用户随后访问的页面中派上用场，当然前提是那些页面要使用PHPLIB。方法很简单，注册一个变量后即可在随后的页面中使用它，直至session结束。方法：


<?php $sess->register( "variable_name"); ?>

　　注重，这里的variable_name不是变量值，而是变量名，可以先指定变量名，随后再赋值。你在某个页面中可以改变变量的值，随后的页面访问该变量时会得到改变后的值。变量的类型是多样的，可以是一个字串，一个数字，一个数组，甚至一个对象。举例来说明：

<?php

$sess->register( "first");

if (check($firstname)) {

$first = $firstname;

<?php

//********************************************************
//-- 程序名称：StrSwap V1.0
//-- 程序用途：Get或Post提交值的非法数据处理
//-- 备注： 本程序需要加载在所有程序处理前使用，以便自动进行
//-- 程序中使用的变量的替换
//********************************************************

class StrSwap{

//当以Get方式提交变量时用于连接变量的连接符
var $GetSplitStr = "&&";
var $TempArray = array();
var $VariableArray = array();

//********************************************************
//-- 程序名称：Main()
//-- 程序用途：本类的默认运行方式
//-- 传入参数：无
//********************************************************

function Main(){

global $REQUEST_METHOD;
if("GET"==$REQUEST_METHOD){

$this->SubGetStrToArray();

}
if("POST"==$REQUEST_METHOD){

$this->SubPostStrToArray();

}

$this->GlobalVariable();



}

//********************************************************
//-- 程序名称：SubGetStrToArray()
//-- 程序用途：当变量以Get方式提交时所调用的方法
//-- 传入参数：无
//********************************************************

function SubGetStrToArray(){

global $QUERY_STRING;
$this->TempArray = explode($this->GetSplitStr,$QUERY_STRING);

for($i=0;$i<sizeof($this->TempArray);$i ){

$temp = explode('=',$this->TempArray[$i]);
$this->VariableArray[$i][0] = $temp[0];
$this->VariableArray[$i][1] = $this->StrReplace($temp[1]);

}

}

<?
function make_password()
{$pw_length=24;//密码长度
$low_ascii_bound=50;
$upper_ascii_bound=122;
$notuse=array(58,59,60,61,62,63,64,73,79,91,92,93,94,95,96,108,111);
while($i<$pw_length)
{mt_srand((double)microtime()*1000000);
$randnum=mt_rand($low_ascii_bound,$upper_ascii_bound);
if(!in_array($randnum,$notuse))
{$password1=$password1.chr($randnum);
$i ;
}
}
return $password1;}
$password=make_password();//调用
?>

滥用include

　　1.漏洞原因：

　　Include是编写PHP网站中最常用的函数，并且支持相对路径。有很多PHP脚本直接把某输入变量作为Include的参数，造成任意引用脚本、绝对路径泄露等漏洞。看以下代码：

...
$includepage=$_GET["includepage"];
include($includepage);
...


　　很明显，我们只需要提交不同的Includepage变量就可以获得想要的页面。假如提交一个不存在的页面，就可以使PHP脚本发生错误而泄露实际绝对路径(这个问题的解决办法在下面的文章有说明)。

　　2.漏洞解决：

　　这个漏洞的解决很简单，就是先判定页面是否存在再进行Include。或者更严格地，使用数组对可Include的文件作出规定。看以下代码：
$pagelist=array("test1.php","test2.php","test3.php"); //这里规定可进行include的文件
if(isset($_GET["includepage"])) //判定是否有$includepage
{
　$includepage=$_GET["includepage"];
　foreach($pagelist as $prepage)
　{
　　if($includepage==$prepage) //检查文件是否在答应列表中
　　{
　　　include($prepage);
　　　$checkfind=true;
　　　break;
　　}
　}
　if($checkfind==true){ unset($checkfind); }
　else{ die("无效引用页！"); }
}


　　这样就可以很好地解决问题了。

　　小提示：有此问题的函数还有：require()，require_once()，include_once()，readfile()等，在编写的时候也要注重。

　　未对输入变量进行过滤

　　1.漏洞原因：

　　这个漏洞早在ASP中出现过，当时造成的注入漏洞不计其数。但由于PHP在当时的影响力较小，所以没有太多的人能够注重这点。对于PHP来说，这个漏洞的影响性比ASP更大，因为有比较多的PHP脚本使用到文本型数据库。当然也存在SQL语句的注入问题。举个比较经典的例子，首先是数据库的：
$id=$_GET["id"];

$query="SELECT * FROM my_table where id='".$id."'"; //很经典的SQL注入漏洞
$result=mysql_query($query);


　　这里很明显我们可以用注入来获得数据库的其它内容了。这里就不再具体叙述，和ASP注入一样的，大家可以看看以前的黑防。然后我们看文本数据库的问题：
$text1=$_POST["text1"];
$text2=$_POST["text2"];
$text3=$_POST["text3"];

$fd=fopen("test.php","a");
fwrite($fd,"rn$text1&line;$text2&line;$text3");
fclose($fd);


　　文本的漏洞可以说是更加严重。倘若我们的提交的变量中插入一段很小的PHP代码，就可以另这个文本数据库test.php变成PHP后门。甚至插入上传代码，让我们可以上传一个完善的PHP后门。接着提升权限，服务器就是你的了。

　　2.漏洞解决：

　　这个漏洞的解决方法其实很简单，就是严格对全部提交的变量进行过滤。对一些敏感的字符进行替换。我们可以借助PHP提供的htmlspecialchars()函数来替换HTML的内容。这里给出一段例子：
//构造过滤函数

对于脚本安全这个话题似乎永远没完没了，假如你经常到国外的各种各样的bugtraq上，你会发现有一半以上都和脚本相关,诸如SQL injection,XSS,Path Disclosure,Remote commands execution这样的字眼比比皆是，我们看了之后的用途难道仅仅是抓肉鸡？对于我们想做web安全的人来说，最好就是拿来学习，可是万物抓根源，我们要的不是鱼而是渔。在国内，各种各样的php程序1.0版,2.0版像雨后春笋一样的冒出来，可是，大家关注的都是一些闻名的cms,论坛,blog程序，很少的人在对那些不出名的程序做安全检测，对于越来越多的php程序员和站长来说，除了依靠服务器的堡垒设置外，php程序本身的安全多少你总得懂点吧。

有人说你们做php安全无非就是搞搞注入和跨站什么什么的，大错特错，假如这样的话，一个magic_quotes_gpc或者服务器里的一些安全设置就让我们全没活路了：（。我今天要说的不是注入，不是跨站，而是存在于php程序中的一些安全细节问题。OK!切入正题。

注重一些函数的过滤

有些函数在程序中是经常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它们的变体函数等等。这些函数都很实用，实用并不代表让你多省心，你还得为它们多费点心。 ：）

1.include(),require()和fopen(),include_once(),require_once()这些都可以远程调用文件，对于它们的危害，google搜一下你就会很明了，对于所包含调用的变量没过滤好，就可以任意包含文件从而去执行。举个例子，看print.php

...

if (empty ($bn) ) { //检查是变量$bn是否为空

include ("$cfg_dir/site_${site}.php"); //把$cfg_dir这个路径里的site_${site}.php包含进来

...

不管存不存在$cfg_dir目录，$site这个变量你可以很自然的去使用，因为他根本没检查$site变量啊。可以把变量$site指定远程文件去调用，也可以是本地的一个文件，你所指定的文件里写上php的语句，然后它就去包含执行这个含有php语句的文件了.就像这样

列出文件目录

甚至可以扩展到包含一些治理员文件，提升权限，典型的像以前phpwind,bo-blog的漏洞一样。除了依靠php.ini里的allow_url_fopen设为off禁止远程使用文件和open_base_dir禁止使用目录以外的文件外，你还得事先声明好只能包含哪些文件，这里就不多说废话了。

2.fopen(),file(),readfile(),openfile(),等也是该非凡留意的地方。函数本身并没什么,它们的作用是去打开文件，可是假如对变量过滤不彻底的话，就会泄露源代码。这样的函数文本论坛里会有很多。

...

$articlearray=openfile("$dbpath/$fid/$tid.php"); //打开$dbpath/$fid这个路径的$tid.php文件

$topic_detail=explode("|",$articlearray[0]); //用分割符|读出帖子的内容

...

很眼熟吧，这是ofstar以前版本的read.php,$fid和$tid没有任何过滤，$tid指定为某个文件提交，就发生了原代码泄露。就像这样。

http://explame.com/ofstar/read.php?fid=123&tid=../index

$tid会被加上php的后缀，所以直接写index。这仅仅是个例子，接着看吧。

3.fwrite()和它的变体函数这种漏洞想想都想得出，对于用户提交的字符没过滤的话，写入一段php后门又不是不可以。

4.unlink()函数，前段时间，phpwind里任意删除文件就是利用这个函数，对于判定是否删除的变量没过滤，变量可以指定为任意文件，当然就可以删除任意文件的变量。

5.eval(),preg_replace()函数，它们的作用是执行php代码，假如字符串没被经过任何过滤的话，会发生什么呢，我就常看见一些cms里面使用，想想，一句话的php木马不就是根据eval()原理制作的吗？

6.对于system()这些系统函数，你会说在php.ini里禁止系统函数，对，这也是好办法，可是象一些程序里需要，那是不是就不用了呢？就像上次我看到的一套很漂亮的php相册一样。另外对于popen(),proc_open(),proc_close()函数你也得非凡注重，尽管他们执行命令后并没有直接的输出，但你想这到底对黑客们有没有用呢。再这里php提供提供了两个函数，escapeshellarg(),escapeshellcmd(),这两个函数用来对抗系统函数的调用攻击，也就是过滤。

对于危害，来举个例子，我们来看某论坛prod.php

07 $doubleApp = isset($argv[1]); //初始化变量$doubleApp

...

14 if( $doubleApp ) //if语句

15 {

16 $appDir = $argv[1]; //初始化$appDir

17 system("mkdir $prodDir/$appDir"); //使用系统函数system来创建目录$prodDir/$appDir

本来是拿来创建$prodDir/$appDir目录的，再接着看上去，程序仅仅检测是否存在$argv[1]，缺少对$argv[1]的必要过滤，那么你就可以这样

/prod.php?argv[1]=|ls -la或者/prod.php?argv[1]=|cat /etc/passwd

（分割符 | 在这里是UNIX的管道参数，可以执行多条命令。）

到这里，常见的漏洞类型应该知道点了吧。

对于非凡字符的重视

对于非凡字符，有句话叫All puts is invalid.外国人文章里这句话很常见的。所有输入都是有害的。你永远不要对用户所输入的东西省心，为了对付这些危害，程序员都在忙着过滤大把大把的字符，唯恐漏了什么。而有些程序员呢？似乎从没注重过这些问题，从来都是敞开漏洞大门的。不说废话，还是先看看下面这些东西吧。

1.其实程序的漏洞里最要害，最让开发者放心不下的就是带着$符号的美元符号，变量，对于找漏洞的人来说，抓着变量两个字就是一切。就像目录遍历这个bug，很多邮件程序都存在，开发者考虑的很周全，有的甚至加上了网络硬盘这个东西，好是好，就像

http://mail.com/file.php?id=1&put=list&tid=1&file=./

要是我们把file这个变量换成./../甚至更上层呢？目录就这样被遍历了。

2.尖括号"<>"跨站你不会不知道吧，一些搜索栏里，文章，留言，像前段时间phpwind附件那里的跨站等等。当然，对于跨站问题，你要过滤的远远不止尖括号。不怕过滤时漏掉什么，而是怕你想不起要去过滤。

3.斜杆和反斜杆：对于/和的过滤，记得魔力论坛的附件下载处的原代码泄露吗？

attachment.php?id=684&u=3096&extension=gif&attach=.............includesconfig.php&filename=1.gif

对于过滤.. / 的问题，像windows主机不仅要过滤../还要过滤..,windows主机对会解析为/,这些细节跟SQL injection比起来，什么才叫深入呢？

4.对于反引号(``),反引号在php中很强大，它可以执行系统命令，就像system()这些系统函数一样，假如用户的恶意语句被它所执行的话就会危害服务器，我想除了服务器设置的很好以外，对于它们，你还是老老实实的过滤好吧。

5.对于换行符,NULL字符等等，像" ,x0B, , ,