Bezpieczeństwo w PHP część II

Bezpieczeństwo serwisu internetowego zależy w dużej mierze od jakości implementacji jego funkcji usługowych. Kontynuując temat z poprzedniego wydania, powiemy, jak bezpiecznie ładować pliki na serwer, szyfrować hasła, sterować dostępem do zasobów, korzystać z rozszerzonego raportowania błędów oraz bezpiecznie obsługiwać sesje.

Bezpieczeństwo serwisu internetowego zależy w dużej mierze od jakości implementacji jego funkcji usługowych. Kontynuując temat z poprzedniego wydania, powiemy, jak bezpiecznie ładować pliki na serwer, szyfrować hasła, sterować dostępem do zasobów, korzystać z rozszerzonego raportowania błędów oraz bezpiecznie obsługiwać sesje.

W iele witryn internetowych musi oferować użytkownikom możliwość wgrywania (upload) plików na serwer, czego dobrym przykładem są galerie zdjęć, tworzone bądź rozszerzane przez użytkowników serwisu. Do ładowania zdjęć na serwer wykorzystuje się formularze, przy czym mechanizm ten musi mieć specjalne zabezpieczenia, aby potencjalny intruz nie mógł zamiast zdjęcia wgrać pliku wykonywalnego, który mógłby zostać uruchomiony poprzez wpisanie odpowiedniej ścieżki w pole adresu przeglądarki.

Zobacz również:

Zadaniem PHP Security Consortium ( http://phpsec.org/) jest m.in. promowanie dobrych praktyk programistycznych oraz dostarczanie wysokiej jakości materiałów szkoleniowych programistom PHP.Kliknij, aby powiększyćZadaniem PHP Security Consortium ( http://phpsec.org/) jest m.in. promowanie dobrych praktyk programistycznych oraz dostarczanie wysokiej jakości materiałów szkoleniowych programistom PHP.Jednym z podstawowych mechanizmów, które można w tym celu zastosować, jest sprawdzanie rozszerzenia wgrywanego pliku. Korzystając z funkcji do manipulacji ciągami znaków, takich jak strpos() i substr(), łatwo zlokalizujemy i wyodrębnimy z nazwy pliku jej rozszerzenie.

Lepszym rozwiązaniem jest wykorzystanie funkcji basename() do sprawdzenia formatu przesyłanego obrazu, np. w następujący sposób:

$typ =

basename($HTTP_POST_FILES['obraz']['type']);

switch ($typ) {

case 'jpeg': // format pliku OK

case 'pjpeg': // konkretny przypadek

default: // ogólny komunikat o błędzie

echo 'Zły format obrazu';

}

Hasła i logowanie

Witryny bardzo często korzystają z informacji przechowywanych w zewnętrznej bazie danych, do której dostęp zazwyczaj zabezpieczony jest hasłem. Aby móc skierować jakiekolwiek zapytanie do bazy danych, trzeba się najpierw z nią połączyć, podając informacje konieczne do autoryzacji dostępu. Bardzo ważnym zagadnieniem jest ochrona wykorzystywanych w tym celu haseł.

Po pierwsze, jeżeli hasła są przechowywane w plikach, do plików tych powinni mieć dostęp tylko użytkownicy, do których hasła należą. Informacje (tj. nazwa użytkownika bazy danych oraz jego hasło) zapisane w oddzielnym pliku można dołączyć do skryptu za pomocą instrukcji include(). Jednak plik zawierający takie poufne dane powinien znajdować się w innej lokalizacji niż sam skrypt, najlepiej tam, gdzie nie mają dostępu nieuprawnione osoby.

Musimy mieć przy tym pewność, że zawartość pliku nie zostanie przypadkowo wyświetlona w oknie przeglądarki, a więc że plik ten nie zostanie przeanalizowany przez interpreter PHP. Jeżeli tak nie jest i plik będzie się znajdował w ogólnie dostępnym katalogu www, wystarczy się do niego odwołać (podając ścieżkę w polu adresu przeglądarki), aby uzyskać wszystkie tajne informacje. Zatem pliki zawierające ważne dane i dołączane do skryptów zaleca się przechowywać poza drzewem strony WWW.

Podczas gdy jedni preferują nadawanie omawianym plikom rozszerzenia .php, inni propagują rozszerzenie .inc. Na samym nazewnictwie nie kończy się ta idea. Zwolennicy .inc globalnie wyłączają bowiem możliwość przesyłania wszelkich plików z rozszerzeniem .inc w pliku konfiguracyjnym serwera Apache httpd.conf:

<Files ~ "\.inc$">

Order allow,deny

Deny from all

</Files>

Aby skrypty PHP mogły korzystać z plików .inc, należy jeszcze odpowiednio ustawić include_path w pliku php.ini.

Druga ważna sprawa obok lokalizacji to forma zapisu plików z hasłami. Nie zaleca się przechowywać haseł w formie zwykłego tekstu. Nie ma powodu, żeby nie skorzystać z jednostronnego szyfrowania przy użyciu funkcji PASSWORD() lub MD5(). W ten sposób podczas weryfikacji użytkownika nie porównuje się samych haseł, lecz ich zaszyfrowaną, skróconą postać, przy czym przed porównaniem do wprowadzonego przez użytkownika hasła należy koniecznie użyć tej samej funkcji szyfrującej.

Uwierzytelnianie HTTP możliwe jest tylko wtedy, gdy PHP działa jako moduł Apache, a jedyną obsługiwaną formą uwierzytelniania jest Basic.Kliknij, aby powiększyćUwierzytelnianie HTTP możliwe jest tylko wtedy, gdy PHP działa jako moduł Apache, a jedyną obsługiwaną formą uwierzytelniania jest Basic.Tego rodzaju jednostronne szyfrowanie charakteryzuje się również tym, że nie można odzyskać zapomnianego hasła, ponieważ nawet stosując tę samą funkcję szyfrującą, nie otrzymamy pierwotnie zakodowanego łańcucha znaków. Jak sama nazwa wskazuje, jest to szyfrowanie tylko w jedną stronę.

Do zabezpieczania haseł możemy użyć również funkcji crypt(), która zwraca pseudolosowy ciąg znaków. Jeżeli użyjemy jej w następujący sposób:

crypt("haslo", "abc")

gdzie "abc" to tzw. klucz, otrzymamy ciąg:

abi8/GGl6G0ls

Za każdym razem, gdy użyjemy tego samego klucza do danego ciągu, otrzymamy identyczny wynik. Jednak klucz jest opcjonalny i zrezygnowanie z niego oznacza, że wielokrotnie wykonując funkcję crypt(), za każdym razem otrzymamy inny pseudolosowy ciąg wyjściowy.

Funkcji crypt() należy używać z kluczem, który daje przy okazji dodatkowe możliwości. Można na przykład zaimplementować uwierzytelnianie, które będzie wykorzystywało indywidualny klucz każdego użytkownika. Chcąc umożliwić np. logowanie jedynie z wybranego adresu, po sprawdzeniu IP użytkownikowi byłby przydzielany odpowiedni klucz.

Skutkiem takiej implementacji byłoby dopuszczenie zalogowania osoby podającej właściwe hasło z wybranego adresu IP, natomiast odrzucenie tego samego (prawidłowego) hasła wprowadzonego przez osobę korzystającą z innego adresu IP (osoba z innym adresem IP otrzymałaby inny klucz, wykorzystywany w funkcji crypt()).

Logowanie można też przeprowadzić, wykorzystując zmienne środowiskowe serwera WWW. Przykładowy skrypt rozpoznający rodzaj serwera i przeprowadzający takie uwierzytelnienie można znaleźć w Internecie pod adresem http://pl.php.net/features.http-auth. Jest tam dosyć szczegółowe omówienie tematu oraz wskazówki, na co zwrócić uwagę, aby wszystko działało poprawnie.