|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
会PHP吗?会,我会把一加一的运算写在函数里,然后调用啦!平安|剧本 在很长一段工夫内,PHP作为办事器端剧本言语的最大卖点之一就是会为从表单提交的值主动创立一个全局变量。在PHP 4.1中,PHP的制造者们保举了一个会见提交数据的替换手腕。在PHP 4.2中,他们作废了那种老的做法!正如我将在这篇文章中注释的那样,作出如许的变更的目标是出于平安性的思索。咱们将研讨PHP在处置表单提交及其它数据时的新的做法,并申明为何如许做会进步代码的平安性。
这里有甚么毛病?
看看上面的这段PHP剧本,它用来在输出的用户名及口令阃确时受权会见一个Web页面:
<?php
// 反省用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
OK,我信任大约对折的读者会不屑的说“太愚昧了-- 我不会犯如许的毛病的!”然而我包管有良多的读者会想“嗨,没甚么成绩啊,我也会这么写的!”固然还会有多数人会对这个成绩感应猜疑(“甚么是PHP?”)。PHP被设计为一个“好的并且轻易的”剧本言语,初学者可以在很短的工夫内学会利用它;它也应当可以防止初学者犯下面的毛病。
再回到方才的成绩,下面的代码中存在的成绩是你可以很轻易地取得会见的权利,而不需求供应准确的用户名和口令。只在要你的阅读器的地址栏的最初添加?authorized=1。由于PHP会主动地为每个提交的值创立一个变量 -- 不管是来主动一个提交的表单、URL查询字符串仍是一个cookie -- 这会将$authorized设置为1,如许一个未受权的用户也能够冲破平安限制。
那末,怎样复杂地处理这个成绩呢?只需在法式的开首将$authorized默许设置为false。这个成绩就不存在了!$authorized是一个完整在法式代码中创立的变量;然而为何开辟者得为每个歹意的用户提交的变量忧虑呢?
PHP 4.2作了甚么改动?
在PHP 4.2中,新装置的PHP中的register_globals选项默许为封闭,因而EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中内部变量来历的全体局限)不会被作为全局变量来创立。固然,这个选项还可以经由过程手工来开启,然而PHP的开辟者保举你将其封闭。要贯彻他们的意图,你需求利用其它的办法来获得这些值。
从PHP 4.1入手下手,EGPCS值就能够从一组指定的数组中取得:
$_ENV -- 包括体系情况变量
$_GET -- 包括查询字符串中的变量,和提交办法为GET的表单中的变量
$_POST -- 包括提交体例为POST的表单中的变量
$_COOKIE -- 包括一切cookie变量
$_SERVER -- 包括办事器变量,例如HTTP_USER_AGENT
$_REQUEST -- 包括$_GET、$_POST和$_COOKIE的全体内容
$_SESSION -- 包括一切已注册的session变量
在PHP 4.1之前,当开辟者封闭register_globals选项(这也被思索为进步PHP功能的一种办法)后,必需利用诸如$HTTP_GET_VARS如许的使人厌恶的名字来获得这些变量。这些新的变量名不单单短,并且它们还有其他长处。
起首,让咱们在PHP 4.2中(也就是说封闭register_globals 选项)重写下面提到的代码: <?php
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
// 反省用户名和口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
正如你看到的,我所需求做的只是在代码的入手下手增添上面两行:
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
由于咱们但愿用户名和暗码是由用户提交的,所以咱们从$_REQUEST数组中获得这些值。利用这个数组使得用户可以自在选择传递体例:经由过程URL查询字符串(例如答应用户创立书签时主动输出他们的证书)、经由过程一个提交的表单或是经由过程一个cookie。假如你想要限制只能经由过程表单提交证书(更准确地说,是经由过程HTTP POST恳求),你可使用$_POST数组:
$username = $_POST['username'];
$password = $_POST['password'];
除“引入”这两个变量之外,法式代码没有任何改动。复杂地封闭register_globals选项促使开辟者更进一步懂得哪些数据是来自内部的(不成信赖的)资本。
请注重这里还有一个小成绩:PHP中默许的error_reporting设置依然是E_ALL & ~E_NOTICE,因而假如“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中取得这两个值其实不会招致任何毛病信息。如晨不你的PHP法式需求严厉的毛病反省,你还需求增添一些代码以起首反省这些变量。
然而这是否是意味着更多的输出?
是的,在象下面如许的复杂法式中,利用PHP 4.2经常会增添输出量。然而,仍是看看光亮的一面吧 -- 你的法式毕竟是更平安了!
不外仔细的说,PHP的设计者并没有完整无视你的疾苦。在这些新数组中有一个特别的其它所PHP变量都不具有的特点,它们是完整的全局变量。这对你有甚么匡助呢?让咱们先对咱们的示例停止一下扩大。
为了使得站点中的多个页面可使用用户名/口令论证,咱们将咱们用户认证法式写到一个include文件(protectme.php)中:
<?php
/* protectme.php */
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// 反省用户名和口令
if ($username != $authuser or $password != $authpass):
?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php
exit();
endif;
}
?>
如今,咱们方才的页面看上去将是如许的: <?php
require('protectme.php');
authorize_user('kevin','secret');
?>
<!-- 有平安请求的HTML内容 -->
很复杂,很明晰了然,对不合错误?如今是考验你的目力眼光和经历的时分了 -- 在authorize_user 函数中少了甚么?
在函数中没有声名$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需求增添一行代码以在函数中获得$username和$password变量:
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
在PHP中,和其它具有相似语法的言语分歧,函数外的变量在函数中不克不及主动取得,你需求象下面所申明的那样增添一行以指定其来自global局限。
在PHP 4.0中,当封闭register_globals以供应平安性时,你可使用$HTTP_POST_VARS数组以取得你的表单提交的值,然而你仍是需求从全局局限导入这个数组: function authorize_user($authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
$password = $HTTP_POST_VARS['password'];
然而在PHP 4.1及今后的版本中,特别的$_POST变量(和下面提到的其它变量)可以在一切局限内利用。这就是不需求在函数中声名$_POST变量是一个全局变量的缘由: function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
这对session有甚么影响?
特别的$_SESSION数组的引入实践上有助于简化session代码。你不需求将session变量声名为全局变量,然后再去寄望哪些变量被注册了,你如今可以复杂地从$_SESSION['varname']中援用你一切的session变量。
如今让咱们来看看另外一个用户认证的例子。这一次,咱们利用sessions以标记一个在你的网站持续勾留的用户已经由了用户认证。起首,咱们来看看PHP 4.0版本(开启register_globals):
<?php
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true;
session_register('authorized');
}
?>
<?php if (!$authorized): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
和刚入手下手的法式一样,这个法式也存在平安破绽,在URL的最初加上?authorized=1可以绕过平安办法直接会见页面内容。开辟者可以将$authorized视为一个session变量而无视了可以很轻易地经由过程用户输出设置一样的变量。
当咱们增添了咱们的特别的数组(PHP 4.1)并封闭register_globals(PHP 4.2)后,咱们的法式将是如许的: <?php
session_start();
if ($username == 'kevin' and $password == 'secret')
$_SESSION['authorized'] = true;
?>
<?php if (!$_SESSION['authorized']): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
是否是加倍复杂了?你不再需求再将通俗的变量注册为一个session变量,你只需求直接设置session变量(在$_SESSION数组中),然后用一样的办法利用它。法式变得更短了,并且关于甚么变量是session变量也不会引发凌乱!
总结
在这篇文章中,我注释了PHP剧本言语作出改动的深层缘由。在PHP 4.1中,添加了一组特别数据以会见内部数据。这些数组可以在任何局限内挪用,这使得内部数据的会见更便利。在PHP 4.2中,register_globals被默许封闭以勉励利用这些数组以免无经历的开辟者编写出不平安的PHP代码。
在学习中,我也一直这样要求着自己。 |
|