为什么说用PHP开发大型系统令人不爽

为什么说用PHP开发大型系统令人不爽相关内容，小编在这里做了整理，希望能对大家有所帮助，关于为什么说用PHP开发大型系统令人不爽信息，一起来了解一下吧！

本文目录一览：

• 1、php安全过滤代码
• 2、代码审计Day7 - parse_str函数缺陷
• 3、为什么说用PHP开发大型系统令人不爽

php安全过滤代码

php安全篇值过滤用户输入的人参数
规则 1：绝不要信任外部数据或输入
关于Web应用程序安全性，必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在PHP代码中直接输入的任何数据。在采取措施确保安全之前，来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。
例如，下面的数据元素可以被认为是安全的，因为它们是在PHP中设置的。
复制代码 代码如下:
<?php
$myUsername = 'tmyer';
$arrayUsers = array('tmyer', 'tom', 'tommy');define(”GREETING”, 'hello there' . $myUsername);?>
但是，下面的数据元素都是有瑕疵的。
清单 2. 不安全、有瑕疵的代码
复制代码 代码如下:
<?php
$myUsername = $_POST['username']; //tainted!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!
define(”GREETING”, 'hello there' . $myUsername); //tainted!
?>
为 什么第一个变量 $myUsername 是有瑕疵的？因为它直接来自表单 POST。用户可以在这个输入域中输入任何字符串，包括用来清除文件或运行以前上传的文件的恶意命令。您可能会问，“难道不能使用只接受字母 A-Z 的客户端（Javascrīpt）表单检验脚本来避免这种危险吗？”是的，这总是一个有好处的步骤，但是正如在后面会看到的，任何人都可以将任何表单下载 到自己的机器上，修改它，然后重新提交他们需要的任何内容。
解决方案很简单：必须对 $_POST['username'] 运行清理代码。如果不这么做，那么在使用 $myUsername 的任何其他时候（比如在数组或常量中），就可能污染这些对象。
对用户输入进行清理的一个简单方法是，使用正则表达式来处理它。在这个示例中，只希望接受字母。将字符串限制为特定数量的字符，或者要求所有字母都是小写的，这可能也是个好主意。
清单 3. 使用户输入变得安全
复制代码 代码如下:
<?php
$myUsername = cleanInput($_POST['username']); //clean!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!
define(”GREETING”, 'hello there' . $myUsername); //clean!
function cleanInput($input){
$clean = strtolower($input);
$clean = preg_replace(”/[^a-z]/”, “”, $clean);$clean = substr($clean,0,12);
return $clean;
}
?>
规则 2：禁用那些使安全性难以实施的 PHP 设置已经知道了不能信任用户输入，还应该知道不应该信任机器上配置 PHP 的方式。例如，要确保禁用 register_globals。如果启用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替换同名的 GET 或 POST 字符串。通过禁用这个设置，PHP 强迫您在正确的名称空间中引用正确的变量。要使用来自表单 POST 的变量，应该引用 $_POST['variable']。这样就不会将这个特定变量误会成 cookie、会话或 GET 变量。
规则 3：如果不能理解它，就不能保护它
一些开发人员使用奇怪的语法，或者将语句组织得很紧凑，形成简短但是含义模糊的代码。这种方式可能效率高，但是如果您不理解代码正在做什么，那么就无法决定如何保护它。
例如，您喜欢下面两段代码中的哪一段？
清单 4. 使代码容易得到保护
复制代码 代码如下:
<?php
//obfuscated code
$input = (isset($_POST['username']) ? $_POST['username']:”);//unobfuscated code
$input = ”;
if (isset($_POST['username'])){
$input = $_POST['username'];
}else{
$input = ”;
}
?>
在第二个比较清晰的代码段中，很容易看出 $input 是有瑕疵的，需要进行清理，然后才能安全地处理。
规则 4：“纵深防御” 是新的法宝
本教程将用示例来说明如何保护在线表单，同时在处理表单的 PHP 代码中采用必要的措施。同样，即使使用 PHP regex 来确保 GET 变量完全是数字的，仍然可以采取措施确保 SQL 查询使用转义的用户输入。
纵深防御不只是一种好思想，它可以确保您不会陷入严重的麻烦。
既然已经讨论了基本规则，现在就来研究第一种威胁：SQL 注入攻击。
防止 SQL 注入攻击
在 SQL 注入攻击 中，用户通过操纵表单或 GET 查询字符串，将信息添加到数据库查询中。例如，假设有一个简单的登录数据库。这个数据库中的每个记录都有一个用户名字段和一个密码字段。构建一个登录表单，让用户能够登录。
清单 5. 简单的登录表单
复制代码 代码如下:
<html>
<head>
<title>Login</title>
</head>
<body>
<form action=”verify.php” method=”post”>
<p><label for='user'>Username</label>
<input type='text' name='user' id='user'/>
</p>
<p><label for='pw'>Password</label>
<input type='password' name='pw' id='pw'/>
</p>
<p><input type='submit' value='login'/></p>
</form>
</body>
</html>
这个表单接受用户输入的用户名和密码，并将用户输入提交给名为 verify.php 的文件。在这个文件中，PHP 处理来自登录表单的数据，如下所示：
清单 6. 不安全的 PHP 表单处理代码
复制代码 代码如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = “select count(*) as ctr from users where username='”.$username.”' and password='”. $pw.”' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(”index.php”);
}else{
header(”login.php”);
}
?>
这 段代码看起来没问题，对吗？世界各地成百（甚至成千）的 PHP/MySQL 站点都在使用这样的代码。它错在哪里？好，记住 “不能信任用户输入”。这里没有对来自用户的任何信息进行转义，因此使应用程序容易受到攻击。具体来说，可能会出现任何类型的 SQL 注入攻击。
例如，如果用户输入 foo 作为用户名，输入 ' or '1′='1 作为密码，那么实际上会将以下字符串传递给 PHP，然后将查询传递给 MySQL：
复制代码 代码如下:
<?php
$sql = “select count(*) as ctr from users where username='foo' and password=” or '1′='1′ limit 1″;?>
这个查询总是返回计数值 1，因此 PHP 会允许进行访问。通过在密码字符串的末尾注入某些恶意 SQL，黑客就能装扮成合法的用户。
解 决这个问题的办法是，将 PHP 的内置 mysql_real_escape_string() 函数用作任何用户输入的包装器。这个函数对字符串中的字符进行转义，使字符串不可能传递撇号等特殊字符并让 MySQL 根据特殊字符进行操作。清单 7 展示了带转义处理的代码。
清单 7. 安全的 PHP 表单处理代码
复制代码 代码如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = “select count(*) as ctr from users where username='”.mysql_real_escape_string($username).”' and password='”. mysql_real_escape_string($pw).”' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(”index.php”);
}else{
header(”login.php”);
}
?>
使用 mysql_real_escape_string() 作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。如果用户尝试通过 SQL 注入传递畸形的密码，那么会将以下查询传递给数据库：
select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1′ limit 1″数据库中没有任何东西与这样的密码匹配。仅仅采用一个简单的步骤，就堵住了 Web 应用程序中的一个大漏洞。这里得出的经验是，总是应该对 SQL 查询的用户输入进行转义。
但是，还有几个安全漏洞需要堵住。下一项是操纵 GET 变量。
防止用户操纵 GET 变量
在前一节中，防止了用户使用畸形的密码进行登录。如果您很聪明，应该应用您学到的方法，确保对 SQL 语句的所有用户输入进行转义。
但 是，用户现在已经安全地登录了。用户拥有有效的密码，并不意味着他将按照规则行事 —— 他有很多机会能够造成损害。例如，应用程序可能允许用户查看特殊的内容。所有链接指向 template.php?pid=33 或 template.php?pid=321 这样的位置。URL 中问号后面的部分称为查询字符串。因为查询字符串直接放在 URL 中，所以也称为 GET 查询字符串。
在 PHP 中，如果禁用了 register_globals，那么可以用 $_GET['pid'] 访问这个字符串。在 template.php 页面中，可能会执行与清单 8 相似的操作。
清单 8. 示例 template.php
复制代码 代码如下:
<?php
$pid = $_GET['pid'];
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
这 里有什么错吗？首先，这里隐含地相信来自浏览器的 GET 变量 pid 是安全的。这会怎么样呢？大多数用户没那么聪明，无法构造出语义攻击。但是，如果他们注意到浏览器的 URL 位置域中的 pid=33，就可能开始捣乱。如果他们输入另一个数字，那么可能没问题；但是如果输入别的东西，比如输入 SQL 命令或某个文件的名称（比如 /etc/passwd），或者搞别的恶作剧，比如输入长达 3,000 个字符的数值，那么会发生什么呢？
在这种情况下，要记住基本规则，不要信任用户输入。应用程序开发人员知道 template.php 接受的个人标识符（PID）应该是数字，所以可以使用 PHP 的 is_numeric()函数确保不接受非数字的 PID，如下所示：
清单 9. 使用 is_numeric() 来限制 GET 变量复制代码 代码如下:
<?php
$pid = $_GET['pid'];
if (is_numeric($pid)){
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page}else{
//didn't pass the is_numeric() test, do something else!
}
?>
这个方法似乎是有效的，但是以下这些输入都能够轻松地通过 is_numeric() 的检查：
100 （有效）
100.1 （不应该有小数位）
+0123.45e6 （科学计数法 —— 不好）
0xff33669f （十六进制 —— 危险！危险！）那么，有安全意识的 PHP 开发人员应该怎么做呢？多年的经验表明，最好的做法是使用正则表达式来确保整个 GET 变量由数字组成，如下所示：
清单 10. 使用正则表达式限制 GET 变量
复制代码 代码如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(”^[0-9]+$”,$pid)){
//do something appropriate, like maybe logging them out or sending them back to home page}
}else{
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
需 要做的只是使用 strlen() 检查变量的长度是否非零；如果是，就使用一个全数字正则表达式来确保数据元素是有效的。如果 PID 包含字母、斜线、点号或任何与十六进制相似的内容，那么这个例程捕获它并将页面从用户活动中屏蔽。如果看一下 Page 类幕后的情况，就会看到有安全意识的 PHP 开发人员已经对用户输入 $pid 进行了转义，从而保护了 fetchPage() 方法，如下所示：
清单 11. 对 fetchPage() 方法进行转义
复制代码 代码如下:
<?php
class Page{
function fetchPage($pid){
$sql = “select pid,title,desc,kw,content,status from page where pid='”.mysql_real_escape_string($pid).”'”;}
}
?>
您可能会问，“既然已经确保 PID 是数字，那么为什么还要进行转义？” 因为不知道在多少不同的上下文和情况中会使用 fetchPage() 方法。必须在调用这个方法的所有地方进行保护，而方法中的转义体现了纵深防御的意义。
如 果用户尝试输入非常长的数值，比如长达 1000 个字符，试图发起缓冲区溢出攻击，那么会发生什么呢？下一节更详细地讨论这个问题，但是目前可以添加另一个检查，确保输入的 PID 具有正确的长度。您知道数据库的 pid 字段的最大长度是 5 位，所以可以添加下面的检查。
清单 12. 使用正则表达式和长度检查来限制 GET 变量复制代码 代码如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(”^[0-9]+$”,$pid) && strlen($pid) > 5){//do something appropriate, like maybe logging them out or sending them back to home page}
} else {
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
现在，任何人都无法在数据库应用程序中塞进一个 5,000 位的数值 —— 至少在涉及 GET 字符串的地方不会有这种情况。想像一下黑客在试图突破您的应用程序而遭到挫折时咬牙切齿的样子吧！而且因为关闭了错误报告，黑客更难进行侦察。
缓冲区溢出攻击
缓冲区溢出攻击 试图使 PHP 应用程序中（或者更精确地说，在 Apache 或底层操作系统中）的内存分配缓冲区发生溢出。请记住，您可能是使用 PHP 这样的高级语言来编写 Web 应用程序，但是最终还是要调用 C（在 Apache 的情况下）。与大多数低级语言一样，C 对于内存分配有严格的规则。
缓冲区溢出攻击向缓冲区发送大量数据，使部分数据溢出到相邻的内存缓冲区，从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。
防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。例如，如果有一个表单元素要求输入用户的名字，那么在这个域上添加值为 40 的 maxlength 属性，并在后端使用 substr() 进行检查。清单 13 给出表单和 PHP 代码的简短示例。

代码审计Day7 - parse_str函数缺陷

本文由红日安全成员：l1nk3r 编写，如有不当，还望斧正。

在PHP代码审计的项目 PHP-Audit-Labs 中，我们当前讨论的是第7篇关于“代码审计Day7 - parse_str函数缺陷”的文章。本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 ，旨在提供分析和实际CMS案例解说。

此篇文章关注的是变量覆盖漏洞，特别指出这一漏洞的产生与不安全的parse_str函数使用密切相关。通过提交特定格式的数据，如"config[dbhost]=127.0.0.1"，可以控制全局变量并绕过登陆验证，进而进行攻击。解析parse_str函数定义，揭示其将查询字符串解析为变量并直接覆盖现有作用域中变量的特性。

实例分析聚焦于DedeCmsV5.6版本的漏洞，该版本的buy_action.php处存在SQL注入漏洞，与parse_str函数密切相关。通过对比补丁和源文件，发现补丁主要针对加密函数强度的加强，推测漏洞可能由mchStrCode编码方法引起。进一步分析发现，此函数可以编码或解码用户提交的数据，并且在某些情况下，解码结果可能未经过充分过滤，导致SQL注入产生。

分析中提到，mchStrCode函数的关键问题在于未对定义的key进行检查，允许攻击者通过编码绕过GPC和其他过滤机制，将攻击代码直接注入目标。详细解析了mchStrCode函数的编码过程，指出其中使用$_SERVER["HTTP_USER_AGENT"]与$GLOBALS['cfg_cookie_encode']进行拼接并进行md5计算，以获取加密密钥。

利用思路中提到，虽然漏洞原理简单，但利用难度较高，关键在于解决mchStrCode函数的编码问题。通过搜索全文，找到一处加密调用，发现可以利用其特性绕过过滤。具体操作包括使用[a=1&b=2%26c=3]的提交方式，让页面直接回显并获取pr_encode和pr_verify值，进而实现SQL注入攻击。

漏洞利用示例中，通过特定参数访问buy_action.php文件，配合差异性参数和SQL注入代码，获取pd_encode和pd_verify字段的值。最后构造payload进行攻击。文章最后提供了修复建议，包括在注册变量前先判断变量是否存在，以及使用extract函数配置EXTR_SKIP参数等。

文章结尾留有CTF题目，鼓励读者实践。同时，作者提供了CMS下载链接和邮箱联系方式，欢迎交流和讨论。对于parse_str函数的深入理解，通过实例分析和漏洞利用示例，读者可以更加清晰地理解其潜在风险和应对策略。

为什么说用PHP开发大型系统令人不爽

我爱编程网(https://www.52biancheng.com)小编还为大家带来为什么说用PHP开发大型系统令人不爽的相关内容。

笔者在过去的四年里一直致力于PHP应用的开发 PHP确实十分容易编写 但是PHP也有一些十分严重的缺陷

下面笔者会给出自己的理由 为什么PHP不适合于比小型业余网站更大的网站

对递归的不良支持 递归是一种函数调用自身的机制 这是一种强大的特性可以把某些复杂的东西变得很简单 有一个使用递归的例子是快速排序（quicksort） 不幸的是 PHP并不擅长递归 Zeev 一个PHP开发人员 说道 PHP （Zend）对密集数据使用了栈方式 而不是使用堆方式 也就是说它能容忍的递归函数的数量限制和其他语言比起来明显少 见bug 这是一个很不好的借口 每一个编程语言都应该提供良好的递归支持

许多PHP模块都不是线程安全的 在几年前 Apache发布了Web服务器的 版 这个版本支持多线程模式 在这个模式下 软件一个一部分可以同时运行多个 PHP的发明者说PHP的核心是线程安全的 但是非核心模块不一定是 但是十次有九次 你想要在PHP脚本中使用这种模块 但这又使你的脚本不能合适Apache的多线程模式 这也是为什么PHP小组不推荐在Apache 的多线程模式下运行PHP 不良的多线程模式支持使PHP常被认为是Apache 依然不流行的原因之一

请阅读这篇讨论 Slashdot: Sites Rejecting Apache ?

PHP 由于商业原因而不健全 通过使用缓存 PHP的性能可以陡增 %[见基准测试] 那么为什么缓存没有被构建在PHP中呢？因为Zend——PHP的制造者 它在销售自己的Zend Accelerator 所以当然 他们不想抛弃自己的商业产品这块肥肉

但是有另一个可选择的 APC （Zend后来推出Zend Optimizer 免费的加速器——译者）

没有命名空间 设想某个人制作了一个PHP模块用来阅读文件 模块中一个函数叫做read 然后另一个人的模块可以读取网页的 同样包含一个函数read 然后我们就无法同时使用这两个模块了 因为PHP不知道你要用哪个函数

但是有一个很简单的解决方法 那就是命名空间 曾经有人建议PHP 加入这个特性 但不幸得是他没有这么做 现在 没有命名空间 每个函数都必须加上模块名作为前缀 来避免名称冲突 这导致了函数名恐怖得长 例如xsl_xsltprocessor_transform_to_xml让代码难于书写和理解

不标准的日期格式字符 很多程序员对 日期格式字符 都很熟悉 它是从UNIX和C语言中来的 其他一些编程语言采用了这个标准 但是很奇怪的 PHP有它自己的一套完全不兼容的日期格式字符 在C中 %j 表示一年中的当天 在PHP中他表示一个月中的当天 然而使事情更混乱的是 Smarty （一个很流行的PHP模版引擎）的 strftime 函数和 date_format 函数 却使用了C/UNIX的格式化字符

混乱的许可证 你也许认为PHP是免费的 所有的在手册中提到的PHP模块也是免费的 错了！例如 如果你想在PHP中生成PDF文件 你会在手册中发现两个模块 PDF 和 ClibPDF 但是这两个都是有商业许可证的 所以 你所使用的每个模块 你都要确保你同意他的许可证

不一致的函数命名规则 有些函数名称是有多个单词组成的 一般有三种单词组合的习惯

直接拼接 getnumberoffiles 　　用下划线分开 get_number_of_files 　　骆驼法则 getNumberOfFiles 　　大部分语言选择其中一中 但是PHP都用到了

例如 你想要把一些特殊字符转换成HTML实体 你会使用函数entities （直接拼接单词） 如果你要使用相反的功能 你要用到它的小弟弟_entity_decode 由于某些特殊的原因 这个函数名是由下划线分隔单词 怎么能这样呢？你知道有一个函数叫strpad 或者他是str_pad？每次你都要查看一下到底这个符号是什么或者直接等他出现一个错误 函数是不分大小写的 所以对于PHP来说rawurldecode 和RawUrlDecode之间没有什么区别 这也很糟糕 因为两个都使用到了同时他们看上去还不一样 混淆了阅读者

魔法引用的地狱 魔法引用（Magic quote）可以保护PHP脚本免受SQL注入攻击 这很好 但是出于某些原因 你可以在php ini中关闭这个配置 所以你如果要写出一个有弹性的脚本 你总要检查魔法引用是开启还是关闭 这样一个 特性 应该让编程更简单 而事实上变得更复杂了

缺少标准框架 一个成长中的网站没有一个整体框架 最终会变成维护的噩梦 一个框架可以让很多工作变得简单 现在最流行的框架模型时MVC 模型 在其中表现层 业务逻辑和数据库访问都分离开了

很多PHP网站不使用MVC 模型 他们甚至没有一个框架 甚至现在有一些PHP框架同时你都可以自己写一个 关于PHP的文章和手册没有提高框架的一个字 同时JSP 开发人员使用像Struts的框架 ASP开发人员使用 net 看起来好像这些概念都广泛被PHP开发人员所了解 这就说明了PHP实际上到底是多专业

总结　　什么问题?

对于非常小的项目 它可以是一个十分符合人意的编程语言 但是对于较大的和更为复杂的项目 PHP就显出他的薄弱了 当你不断地摸索之后 你会发现笔者提到的某些问题的解决方案 所以 当解决方案已知之后 为什么不能修正他呢？另外为什么这些修补不在手册中提到呢？

一个开源的语言十分流行是一件好事 但不幸得是 它不是一个伟大的语言 笔者希望所有的问题能有一天得到解决（也许在PHP ？） 然后我们就将拥有一个开源语言 他既开源 又好用 我爱编程网

到现在 当你要启动一个多于 个脚本页面的项目的时候 你最好考虑C#/ASP NET 或者 Java/JSP或者也许Python同样是一个更好的选择

lishixinzhi/Article/program/PHP/201311/21371

以上就是为什么说用PHP开发大型系统令人不爽全部内容了，了解更多相关信息，关注我爱编程网。更多相关文章关注我爱编程网：www.52biancheng.com

免责声明：文章内容来自网络，如有侵权请及时联系删除。