LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (97) - bezpečnost ještě jednou

Jak lze bezpečně pracovat se soubory, databázemi a hesly. Také se dozvíte, jak spolu souvisí PHP a kočka domácí.

28.1.2005 15:00 | Petr Zajíc | Články autora | přečteno 28263×

Komerční sdělení: Pořádáme Kurzy PHP

Dnes se podíváme na konkrétní záležitosti kolem PHP, které se týkají zabezpečení a které se více či méně dají ovlivnit programátorsky. Protože jsme se některých těchto témat již na různých místech seriálu dotkli, budou zde rovněž odkazy do předchozích článků.

Bezpečnost souborů

Jelikož je PHP většinou provozováno na serveru s kvalitně nastavenými právy k souborům, není toto téma tak palčivé, jak by mohlo být. To však neznamená, že byste mu neměli věnovat pozornost! Čas od času bývá potřeba pomocí PHP přečíst, odstranit nebo změnit soubor operačního systému hostitelského počítače. V takovém případě musíte být opatrní, aby skript pro modifikaci dělal skutečně to, co má, a aby dělal jen to, co má. Mějme například následující skript pro vypsání obsahu souboru do prohlížeče:

  $soubor=fopen($_GET["file"], "r");
  
$obsah=fread($soubor, 50000);     
  echo
"<pre>".$obsah."</pre>";
  
fclose ($soubor);

Tento skript je potenciálně velmi nebezpečný, protože vůbec neověřuje, co se vlastně pokoušíme vypsat. Takže namísto nevinného volání ve stylu

http://127.0.0.1/source.php?file=[název souboru]

by útočník mohl napsat něco jako:

http://127.0.0.1/source.php?file=/etc/passwd

Způsobů, jak tomu zabránit je několik. Programátor by nikdy neměl dát případnému útočníkovi do ruky takovouto zbraň, proto můžeme dejme tomu omezit možnost vypsání souborů na soubory ve stejné složce, jakou má obslužný skript:

  if (eregi("[\/~]", $_GET["file"])) die();
  
$soubor=fopen($_GET["file"], "r");
  
$obsah=fread($soubor, 50000);     
  echo
"<pre>".$obsah."</pre>";
  
fclose ($soubor);

Můžeme rovněž kontrolovat příponu souboru, který se má zobrazovat, jeho práva, velikost, typ a podobně. Rovněž je žádoucí veškeré případné změny v souborech (jako je tvorba souborů, změna obsahu nebo mazání) protokolovat.

Bezpečnost databází

Jednotlivé databáze mají své bezpečnostní mechanizmy. K tomu patří ověřování uživatelů, práva k tabulkám a procedurám a podobné věci. O bezpečnosti databáze MySQL jsme v tomto seriálu již mluvili. Obecně je téma "PHP, databáze a bezpečnost" velmi široké, takže si nejprve pojďme říci, co všechno tím můžeme mínit. Může se jednat o:

  • zabezpečení dat v databázi proti zneužití
  • zabezpečování přihlašovacích informací
  • zabezpečení komunikace mezi PHP a MySQL
  • zabezpečení dotazů proti SQL-injection
  • a další...

V současné době, která by se dala označit jako věk databází pochopitelně význam uvedených faktorů vzrůstá. Skutečnost je taková, že 100% zabezpečení internetové databáze není možné, a proto bude třeba zvážit, jaké informace se v databázích na internetu mají uchovávat. Znám skutečně společnosti, které ze svých internetových databází pravidelně "odčerpávají" data do lokálních, lépe ochránitelných systémů.

Tak například pokud internetová stránka obsahuje nějaké připojovací údaje k databázi, prakticky vždy jsou tyto údaje uloženy v PHP skriptech. Pokud by útočník zjistil tyto údaje za skriptu, mohl by se zcela jednoduše připojit k databázi. Proti tomu neexistuje spolehlivá ochrana - snad jen uložit připojovací informace do konfiguračních souborů webového serveru (Apache to umožňuje).

SQL injection je technika, která útočníkovi umožní "vpašovat" do příkazu SQL pro databázi kód, který tam původně nebyl. Řešením je NIKDY nepoužívat uživatelem zadaná data jako přímou součást databázových operací. Namísto toho je velmi žádoucí všechna data ověřit, pospojovat a odeslat do databáze až v momentě, kdy máme jistotu, že nemohou obsahovat něco, co jsme nečekali. Můžeme tedy testovat, zda celé číslo je opravdu celé, zda datum představuje platné datum a zda jsme všechny potenciálně nebezpečné znaky řádně oescapovali.

Hesla ve skriptech

Kromě připojovacích údajů do databáze může obsahovat skript celou řadu dalších citlivých údajů. Můžeme mít například následující fragment kódu:

  if ($password=='administrátorské heslo') $admin=TRUE; else $admin=FALSE;
  if (
$admin)
  {
    
//atd...
  
}

Tento kód sám o sobě samozřejmě žádný problém nepředstavuje; nepříjemné však je to, že kdokoli si skript přečte, bude naše heslo znát (může se jednat třeba o správce webu). Přitom bychom nemuseli porovnávat samotné heslo, ale jeho hash:

  if (md5($password)=='9075965146cba1da21ed431d8c9c15b5') $admin=TRUE; else $admin=FALSE;
  if (
$admin)
  {
    
//atd...
  
}

Protože je funkce md5() jednosměrná, neexistuje žádný způsob, jak z ní vyluštit původní heslo a je tedy dobrou ochranou před nenechavými zraky.

Data od uživatelů

Jakákoli data od uživatelů je třeba kontrolovat, kontrolovat a kontrolovat. Byla  tom řeč průběžně, například v díle o formulářích, nebo v díle o zpracování prvků TEXTAREA na cvičném portálu. Uvědomme si, že chybná data mohou přijít z nejrůznějších důvodů - může se jednat o omyl, útok na webové stránky, nebo o kočku domácí líně se rozvalující na klávesnici zapnutého PC.

Pozn.: Ten poslední příklad byl z manuálu o PHP! Ověřoval jsem to experimentálně na svém řádně medializovaném domácím mazlíčku (obrázek z dílu o ukládání binárních dat do databází) a bylo zjištěno toto: Naše Líza se při rozvalování na klávesnici nepokouší rozbít bezpečnostní model PHP, ale klávesnici samotnou. Jde přitom o tzv. brute-force attack (útok hrubou silou), při němž se útočník pokouší přežvýkat přívodní kabel ke klávesnici. Jak ta mrcha rozpozdá datový kabel od napěťového, to skutečně nevím.

Register globals

Jak a proč zakázat registraci globálních proměnných jsme již probírali v díle o nastavení PHP. Ne snad, že by zapnutí či vypnutí této volby udělalo z PHP bezpečnou aplikaci, ale je dobré vědět jak celý mechanismus funguje a jaké je s tím spojeno nebezpečí.

Závěr

Nedotkli jsme se všech aspektů zabezpečení PHP. Jak si můžete přečíst v nabídkách kurzů, které Linuxsoft pořádá, je nastavení PHP na serveru rovněž jedním z témat, která se přednášejí. Psaní bezpečných aplikací v PHP je vždy balancování na ostří nože - mezi použitelností a zabezpečením. Je to hledání kompromisu - stejně jako v mnoha jiných oblastech programování. A to je na tom to hezké, ne?

Verze pro tisk

pridej.cz

 

DISKUZE

Taky maly dotaz 3.11.2005 14:36 Viktor L




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

15.4.2017 15:20 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).
Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

27.2.2017 22:12 /František Kučera
Pozvánka na 137. sraz OpenAlt – Praha: Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1.3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!
Po ukončení prohlídky se všchni odebereme do hostince U vodoucha, Jagelonská 21, Praha 3 pochutnat si na některém z vybraných piv či dát si něco na zub. Rezervaci máme od 19:30, heslo je OpenAlt.
Ale pozor! Do prostor datového centra máme omezený přístup, dostane se tam pouze 10 lidí! Takže kdo přijde dříve, ten má přednost, a občanky s sebou! Kdo nebude chtít na prohlídku datového centra, může se pomalu přesunout do hostince U vodoucha a u nepřeberné nabídky piv počkat na ostatní.
Přidat komentář

18.1.2017 0:49 /František Kučera
Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

15.6.2017 9:34 / Ondřej Havlas
php,

10.6.2017 10:39 / Temple
sell home for cash

11.5.2017 23:32 / lelo
Re: Problém se správcem balíčků

11.5.2017 5:45 / davd mašek
Re: Problém se správcem balíčků

10.5.2017 22:54 / lelo
Re: Problém se správcem balíčků

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze