crelaber

crelaber 查看完整档案

填写现居城市  |  填写毕业院校  |  填写所在公司/组织填写个人主网站
编辑
_ | |__ _ _ __ _ | '_ \| | | |/ _` | | |_) | |_| | (_| | |_.__/ \__,_|\__, | |___/ 个人简介什么都没有

个人动态

crelaber 关注了用户 · 2019-09-08

ApacheFlink @ververica

Apache Flink 中文社区运营账号

关注 931

crelaber 评论了文章 · 2019-04-25

前端工程师通过nodejs链接linux,并上传代码进行半自动化更新,省去ssh+ftp的链接工具

这几天,有一个临时项目,每次发布,都要我本地手动zip,上传fpt,然后shell unzip.
搞得头大,不胜其烦。
我是个懒人,这明显不是我的风格。
干脆nodejs写一个自动链接服务器,并上传文件,然后解压的操作吧。

/**
 * Created by jsoncode on 2019/4/25.
 */
var clientServer = require('./clientServer');
var ip = [
        '127.0.0.1'//server ip
    ];
var filename = 'test.zip';
var localPaht = './a/b/';
var serverPath = '/home/a/b/';
var newDirName = 'www';

var timestr = dateFormat('yyyy-MM-dd_HH.mm.ss');
var cmd = [
    `mkdir ${serverPath}${newDirName}`,
    `mv ${serverPath}${filename} ${serverPath}${newDirName}/`,
    `unzip ${serverPath}${newDirName}/${filename} -d ${serverPath}${newDirName}/`,
    `rm -f ${serverPath}${newDirName}/${filename}`,
    `mv ${serverPath}${newDirName} ${serverPath}${newDirName}-${timestr}`,
    `mv ${serverPath}${newDirName} ${serverPath}${newDirName}`,
];

var cmdIndex = 0;

new Promise(function (success,error) {
    console.log('开始上传')
    clientServer.putFiles(ip,filename, localPaht, serverPath,function (msg) {
        console.log(msg);
        success()
    })
})
.then(function () {
    loopCmd(0,true);
})

function loopCmd(index,indeep) {
    if (index>=cmd.length) {console.log('全部执行完毕');return;}
    var c = cmd[index];
    console.log(c);
    clientServer.cmdShell2(c,ip,function (result) {
        console.log(result);
        if (indeep) {
            index++;
            loopCmd(index,indeep);
        }
    })
}
function dateFormat(formatString,date){
    var date = date||new Date();
    var o = {
        Y: date.getFullYear(),
        M: date.getMonth() + 1,
        D: date.getDate(),
        H: date.getHours(),
        m: date.getMinutes(),
        S: date.getSeconds()
    };
    for (var i in o) {
        if (o.hasOwnProperty(i)) {
            if (o[i] < 10) {
                o[i] = '0' + o[i];
            }
        }
    }
    var formatString = formatString || 'yyyy/MM/dd HH:mm:ss';
    var reg = new RegExp('[Yy]+|M+|[Dd]+|[Hh]+|m+|[Ss]+', 'g');
    var regM = new RegExp('m');
    var regY = new RegExp('y', 'i');
    return formatString.replace(reg, function(v) {
        var old = v;
        if (regM.test(v)) {
            old = o.m;
        } else if (regY.test(v)) {
            var y = '' + o.Y;
            var le = y.length - (v.length == 1 ? 2 : v.length);
            old = y.substring(y.length, le)
        } else {
            var key = v.toUpperCase().substr(0, 1);
            old = o[key];
        }
        return old;
    });
}

以下是clientServer.js的代码,原作者kevalin,网上找的代码,忘了留原始链接。这里给作者说一声抱歉。

需要配置一个私钥路径,即可链接服务器了。

/**
 * Created by kevalin on 2015/4/27.
 */
var async = require('async');
var SSH2Utils = require('ssh2-utils');
var fs = require('fs');
var ssh = new SSH2Utils();
var privateKey = '../xxx.pem';

/*
exec linux shell on remote-servers
----------------------------------------------------------------------------------------------
 */
exports.cmdShell2 = function(cmd, ips, callback) {
    if(!cmd || !ips || !ips.length) {
        console.log('cmdShell2 ERR - 缺少参数')
    }
    else {
        var results = [];
        async.waterfall([
            function(cb1) {
                var servers = [];
                for(var i = 0; i < ips.length; i++) {
                    var _server = {};
                    _server['host'] = ips[i];
                    _server['username'] = 'root';
                    _server['privateKey'] = fs.readFileSync(privateKey);
                    servers.push(_server)
                }
                cb1(null, servers)
            },
            function(servers, cb1) {
                async.each(servers, function(server, cb2) {
                    var _result = {};
                    ssh.exec(server, cmd, function(err, stdout, stderr, server, conn) {
                        if (err) throw err;
                        _result['ip'] = server.host;
                        _result['cmdResult'] = stdout.replace('\n\n', '').replace('\n', '');
                        results.push(_result);
                        conn.end()
                        cb2()
                    })
                }, function(err) {
                    cb1(err, results)
                })
            }
        ], function(err, result) {
            if (err) throw err;
            callback(result)
        })
    }
}

/*
put file to remote-servers function
----------------------------------------------------------------------------------------------
 */
exports.putFiles = function(ips, filename, localPath, remotePath, callback) {
    if (!ips || !filename || !remotePath || !localPath) {
        console.log('putFiles ERR - 缺少参数')
    }
    else {
        async.waterfall([
            function(cb1) {
                var servers = [];
                for(var i = 0; i < ips.length; i++) {
                    var _server = {};
                    _server['host'] = ips[i];
                    _server['username'] = 'root';
                    _server['privateKey'] = fs.readFileSync(privateKey);
                    servers.push(_server)
                }
                cb1(null, servers)
            },
            function(servers, cb1) {
                async.each(servers, function(server, cb2) {
                    var _localFile = localPath + filename;
                    var _remoteFile = remotePath + filename;
                    ssh.putFile(server, _localFile, _remoteFile, function(err, server, conn) {
                        if (err) {
                            console.log(err)
                        }
                        conn.end();
                        cb2()
                    })
                }, function(err) {
                    cb1()
                })
            }
        ], function(err, result) {
            if (err) throw err;
            callback('put file success!!!')
        })
    }
}

我现在只需要吧代码打包成zip,就行了,然后执行:

node index.js 
查看原文

crelaber 评论了文章 · 2019-04-19

PHP实现支付宝小程序用户授权的工具类

背景

最近项目需要上线支付宝小程序,同时需要走用户的授权流程完成用户信息的存储,以前做过微信小程序的开发,本以为实现授权的过程是很简单的事情,但是再实现的过程中还是遇到了不少的坑,因此记录一下实现的过程

学到的知识

  1. 支付宝开放接口的调用模式以及实现方式
  2. 支付宝小程序授权的流程
  3. RSA加密方式

吐槽点

  1. 支付宝小程序的入口隐藏的很深,没有微信小程序那么直接了当
  2. 支付宝小程序的开发者工具比较难用,编译时候比较卡,性能有很大的问题
  3. 每提交一次代码,支付宝小程序的体验码都要进行更换,比较繁琐,而且localStorage的东西不知道要如何删除

事先准备

  1. 支付宝开放平台注册一个开发者账号,并做好相应的认证等工作
  2. 创建一个小程序,并记录好相关的小程序信息,包括支付宝公钥,私钥,app公钥等,可以借鉴支付宝官方提供的相应的公钥生成工具来生成公钥和私钥,工具的下载地址:传送门
  3. 了解下支付宝小程序的签名机制,详细见https://docs.open.alipay.com/...
  4. 熟悉下支付宝小程序获取用户信息的过程,详细见支付宝小程序用户授权指引

授权的步骤

授权时序图

clipboard.png

实现流程

  1. 客户端通过my.getAuthCode接口获取code,传给服务端
  2. 服务端通过code,调用获取token接口获取access_token,alipay.system.oauth.token(换取授权访问令牌)
  3. 通过token接口调用支付宝会员查询接口获取会员信息,alipay.user.info.share(支付宝会员授权信息查询接口)
  4. 将获取的用户信息保存到数据库

AmpHelper工具类

<?php
/**
 * Created by PhpStorm.
 * User: My
 * Date: 2018/8/16
 * Time: 17:45
 */

namespace App\Http\Helper;

use App\Http\Helper\Sys\BusinessHelper;
use Illuminate\Support\Facades\Log;

class AmpHelper
{

    const API_DOMAIN = "https://openapi.alipay.com/gateway.do?";
    const API_METHOD_GENERATE_QR = 'alipay.open.app.qrcode.create';
    const API_METHOD_AUTH_TOKEN = 'alipay.system.oauth.token';
    const API_METHOD_GET_USER_INFO = 'alipay.user.info.share';

    const SIGN_TYPE_RSA2 = 'RSA2';
    const VERSION = '1.0';
    const FILE_CHARSET_UTF8 = "UTF-8";
    const FILE_CHARSET_GBK = "GBK";
    const RESPONSE_OUTER_NODE_QR = 'alipay_open_app_qrcode_create_response';
    const RESPONSE_OUTER_NODE_AUTH_TOKEN = 'alipay_system_oauth_token_response';
    const RESPONSE_OUTER_NODE_USER_INFO = 'alipay_user_info_share_response';
    const RESPONSE_OUTER_NODE_ERROR_RESPONSE = 'error_response';

    const STATUS_CODE_SUCCESS = 10000;
    const STATUS_CODE_EXCEPT = 20000;


    /**
     * 获取用户信息接口,根据token
     * @param $code 授权码
     * 通过授权码获取用户的信息
     */
    public static function getAmpUserInfoByAuthCode($code){
        $aliUserInfo = [];
        $tokenData = AmpHelper::getAmpToken($code);
        //如果token不存在,这种主要是为了处理支付宝的异常记录
        if(isset($tokenData['code'])){
            return $tokenData;
        }
        $token = formatArrValue($tokenData,'access_token');
        if($token){
            $userBusiParam = self::getAmpUserBaseParam($token);
            $url = self::buildRequestUrl($userBusiParam);
            $resonse = self::getResponse($url,self::RESPONSE_OUTER_NODE_USER_INFO);
            if($resonse['code'] == self::STATUS_CODE_SUCCESS){
                //有效的字段列
                $userInfoColumn = ['user_id','avatar','province','city','nick_name','is_student_certified','user_type','user_status','is_certified','gender'];
                foreach ($userInfoColumn as $column){
                    $aliUserInfo[$column] = formatArrValue($resonse,$column,'');
                }

            }else{
                $exceptColumns = ['code','msg','sub_code','sub_msg'];
                foreach ($exceptColumns as $column){
                    $aliUserInfo[$column] = formatArrValue($resonse,$column,'');
                }
            }
        }
        return $aliUserInfo;
    }


    /**
     * 获取小程序token接口
     */
    public static function getAmpToken($code){
        $param = self::getAuthBaseParam($code);
        $url = self::buildRequestUrl($param);
        $response = self::getResponse($url,self::RESPONSE_OUTER_NODE_AUTH_TOKEN);
        $tokenResult = [];
        if(isset($response['code']) && $response['code'] != self::STATUS_CODE_SUCCESS){
            $exceptColumns = ['code','msg','sub_code','sub_msg'];
            foreach ($exceptColumns as $column){
                $tokenResult[$column] = formatArrValue($response,$column,'');
            }
        }else{
            $tokenResult = $response;
        }
        return $tokenResult;
    }

    /**
     * 获取二维码链接接口
     * 433ac5ea4c044378826afe1532bcVX78
     * https://openapi.alipay.com/gateway.do?timestamp=2013-01-01 08:08:08&method=alipay.open.app.qrcode.create&app_id=2893&sign_type=RSA2&sign=ERITJKEIJKJHKKKKKKKHJEREEEEEEEEEEE&version=1.0&biz_content=
    {"url_param":"/index.html?name=ali&loc=hz", "query_param":"name=1&age=2", "describe":"二维码描述"}
    */
    public static function generateQrCode($mpPage = 'pages/index',$queryParam = [],$describe){
        $param = self::getQrcodeBaseParam($mpPage,$queryParam,$describe );
        $url = self::buildRequestUrl($param);
        $response = self::getResponse($url,self::RESPONSE_OUTER_NODE_QR);
        return $response;
    }


    /**
     * 获取返回的数据,对返回的结果做进一步的封装和解析,因为支付宝的每个接口的返回都是由一个特定的    
     * key组成的,因此这里直接封装了而一个通用的方法,对于不同的接口只需要更改相应的node节点就可以了
     */
    public static function getResponse($url,$responseNode){
        $json = curlRequest($url);
        $response = json_decode($json,true);
        $responseContent = formatArrValue($response,$responseNode,[]);
        $errResponse = formatArrValue($response,self::RESPONSE_OUTER_NODE_ERROR_RESPONSE,[]);
        if($errResponse){
            return $errResponse;
        }
        return $responseContent;
    }

    /**
     * 获取请求的链接
     */
    public static function buildQrRequestUrl($mpPage = 'pages/index',$queryParam = []){
        $paramStr = http_build_query(self::getQrBaseParam($mpPage,$queryParam));
        return self::API_DOMAIN . $paramStr;
    }



    /**
     * 构建请求链接
     */
    public static function buildRequestUrl($param){
        $paramStr = http_build_query($param);
        return self::API_DOMAIN . $paramStr;
    }


    /**
     * 获取用户的基础信息接口
     */
    public static function getAmpUserBaseParam($token){
        $busiParam = [
            'auth_token' => $token,
        ];
        $param = self::buildApiBuisinessParam($busiParam,self::API_METHOD_GET_USER_INFO);
        return $param;

    }

    /**
     *获取二维码的基础参数
     */
    public static function getQrcodeBaseParam($page= 'pages/index/index',$queryParam = [],$describe = ''){
        $busiParam = [
            'biz_content' => self::getQrBizContent($page,$queryParam,$describe)
        ];
        $param = self::buildApiBuisinessParam($busiParam,self::API_METHOD_GENERATE_QR);
        return $param;

    }

    /**
     *获取授权的基础参数
     */
    public static function getAuthBaseParam($code,$refreshToken = ''){
        $busiParam = [
            'grant_type' => 'authorization_code',
            'code' => $code,
            'refresh_token' => $refreshToken,
        ];
        $param = self::buildApiBuisinessParam($busiParam,self::API_METHOD_AUTH_TOKEN);
        return $param;
    }


    /**
     * 构建业务参数
     */
    public static function buildApiBuisinessParam($businessParam,$apiMethod){
        $pubParam = self::getApiPubParam($apiMethod);
        $businessParam = array_merge($pubParam,$businessParam);
        $signContent = self::getSignContent($businessParam);
        error_log('sign_content ===========>'.$signContent);
        $rsaHelper = new RsaHelper();
        $sign = $rsaHelper->createSign($signContent);
        error_log('sign ===========>'.$sign);
        $businessParam['sign'] = $sign;
        return $businessParam;
    }


    /**
     * 公共参数
     *
     */
    public static function getApiPubParam($apiMethod){
        $ampBaseInfo = BusinessHelper::getAmpBaseInfo();
        $param = [
            'timestamp' => date('Y-m-d H:i:s') ,
            'method' => $apiMethod,
            'app_id' => formatArrValue($ampBaseInfo,'appid',config('param.amp.appid')),
            'sign_type' =>self::SIGN_TYPE_RSA2,
            'charset' =>self::FILE_CHARSET_UTF8,
            'version' =>self::VERSION,
        ];
        return $param;
    }


    /**
     * 获取签名的内容
     */
    public static function getSignContent($params) {
        ksort($params);
        $stringToBeSigned = "";
        $i = 0;
        foreach ($params as $k => $v) {
            if (!empty($v) && "@" != substr($v, 0, 1)) {
                if ($i == 0) {
                    $stringToBeSigned .= "$k" . "=" . "$v";
                } else {
                    $stringToBeSigned .= "&" . "$k" . "=" . "$v";
                }
                $i++;
            }
        }
        unset ($k, $v);
        return $stringToBeSigned;
    }


    public static function convertArrToQueryParam($param){
        $queryParam = [];
        foreach ($param as $key => $val){
            $obj = $key.'='.$val;
            array_push($queryParam,$obj);
        }
        $queryStr = implode('&',$queryParam);
        return $queryStr;
    }

    /**
     * 转换字符集编码
     * @param $data
     * @param $targetCharset
     * @return string
     */
    public static function characet($data, $targetCharset) {
        if (!empty($data)) {
            $fileType = self::FILE_CHARSET_UTF8;
            if (strcasecmp($fileType, $targetCharset) != 0) {
                $data = mb_convert_encoding($data, $targetCharset, $fileType);
            }
        }
        return $data;
    }

    /**
     * 获取业务参数内容
     */
    public static function getQrBizContent($page, $queryParam = [],$describe = ''){
        if(is_array($queryParam)){
            $queryParam = http_build_query($queryParam);
        }
        $obj = [
            'url_param' => $page,
            'query_param' => $queryParam,
            'describe' => $describe
        ];
        $bizContent = json_encode($obj,JSON_UNESCAPED_UNICODE);
        return $bizContent;
    }

}

AmpHeler工具类关键代码解析

相关常量

//支付宝的api接口地址
const API_DOMAIN = "https://openapi.alipay.com/gateway.do?";
//获取支付宝二维码的接口方法
const API_METHOD_GENERATE_QR = 'alipay.open.app.qrcode.create';
//获取token的接口方法
const API_METHOD_AUTH_TOKEN = 'alipay.system.oauth.token';
//获取用户信息的接口方法
const API_METHOD_GET_USER_INFO = 'alipay.user.info.share';
//支付宝的签名方式,由RSA2和RSA两种
const SIGN_TYPE_RSA2 = 'RSA2';
//版本号,此处固定挑那些就可以了
const VERSION = '1.0';
//UTF8编码
const FILE_CHARSET_UTF8 = "UTF-8";
//GBK编码
const FILE_CHARSET_GBK = "GBK";
//二维码接口调用成功的 返回节点
const RESPONSE_OUTER_NODE_QR = 'alipay_open_app_qrcode_create_response';
//token接口调用成功的 返回节点
const RESPONSE_OUTER_NODE_AUTH_TOKEN = 'alipay_system_oauth_token_response';
//用户信息接口调用成功的 返回节点
const RESPONSE_OUTER_NODE_USER_INFO = 'alipay_user_info_share_response';
//错误的返回的时候的节点
const RESPONSE_OUTER_NODE_ERROR_RESPONSE = 'error_response';

const STATUS_CODE_SUCCESS = 10000;
const STATUS_CODE_EXCEPT = 20000;

formatArrValue方法

function formatArrValue($arr, $key, $default = '') {
    return isset($arr[$key]) ? $arr[$key] : $default;
}

getAmpUserInfoByAuthCode方法

这个方法是获取用户信息的接口方法,只需要传入客户端传递的code,就可以获取到用户的完整信息

getAmpToken方法

这个方法是获取支付宝接口的token的方法,是一个公用方法,后面所有的支付宝的口调用,都可以使用这个方法先获取token

getResponse方法

考虑到会调用各个支付宝的接口,因此这里封装这个方法是为了方便截取接口返回成功之后的信息,提高代码的阅读性

getApiPubParam方法

这个方法是为了获取公共的参数,包括版本号,编码,appid,签名类型等基础业务参数

getSignContent方法

这个方法是获取签名的内容,入参是一个数组,最后输出的是参数的拼接字符串

buildApiBuisinessParam($businessParam,$apiMethod)

这个是构建api独立的业务参数部分方法,businessParam参数是支付宝各个接口的业务参数部分(出去公共参数),$apiMethod是对应的接口的方法名称,如获取token的方法名为alipay.system.oauth.token

签名帮助类

<?php
/**
 * Created by PhpStorm.
 * User: Auser
 * Date: 2018/12/4
 * Time: 15:37
 */

namespace App\Http\Helper;

/**
 *$rsa2 = new Rsa2();
 *$data = 'mydata'; //待签名字符串
 *$strSign = $rsa2->createSign($data);      //生成签名
 *$is_ok = $rsa2->verifySign($data, $strSign); //验证签名
 */
class RsaHelper
{

    private static $PRIVATE_KEY;
    private static $PUBLIC_KEY;


    function __construct(){
        self::$PRIVATE_KEY = config('param.amp.private_key');
        self::$PUBLIC_KEY = config('param.amp.public_key');
    }

    /**
     * 获取私钥
     * @return bool|resource
     */
    private static function getPrivateKey()
    {
        $privKey = self::$PRIVATE_KEY;
        $privKey = "-----BEGIN RSA PRIVATE KEY-----".PHP_EOL.wordwrap($privKey, 64, PHP_EOL, true).PHP_EOL."-----END RSA PRIVATE KEY-----";
        ($privKey) or die('您使用的私钥格式错误,请检查RSA私钥配置');
        error_log('private_key is ===========>: '.$privKey);
        return openssl_pkey_get_private($privKey);
    }
    /**
     * 获取公钥
     * @return bool|resource
     */
    private static function getPublicKey()
    {
        $publicKey = self::$PUBLIC_KEY;
        $publicKey = "-----BEGIN RSA PRIVATE KEY-----".PHP_EOL.wordwrap($publicKey, 64, PHP_EOL, true).PHP_EOL."-----END RSA PRIVATE KEY-----";
        error_log('public key is : ===========>'.$publicKey);
        return openssl_pkey_get_public($publicKey);
    }
    /**
     * 创建签名
     * @param string $data 数据
     * @return null|string
     */
    public function createSign($data = '')
    {
        //  var_dump(self::getPrivateKey());die;
        if (!is_string($data)) {
            return null;
        }
        return openssl_sign($data, $sign, self::getPrivateKey(),OPENSSL_ALGO_SHA256 ) ? base64_encode($sign) : null;
    }
    /**
     * 验证签名
     * @param string $data 数据
     * @param string $sign 签名
     * @return bool
     */
    public function verifySign($data = '', $sign = '')
    {
        if (!is_string($sign) || !is_string($sign)) {
            return false;
        }
        return (bool)openssl_verify(
            $data,
            base64_decode($sign),
            self::getPublicKey(),
            OPENSSL_ALGO_SHA256
        );
    }
}

调用

$originUserData = AmpHelper::getAmpUserInfoByAuthCode($code);
echo $originUserData;

注意getAmpUserInfoByAuthCode方法,调用接口成功,会返回支付宝用户的正确信息,示例如下

{
    "alipay_user_info_share_response": {
        "code": "10000",
        "msg": "Success",
        "user_id": "2088102104794936",
        "avatar": "http://tfsimg.alipay.com/images/partner/T1uIxXXbpXXXXXXXX",
        "province": "安徽省",
        "city": "安庆",
        "nick_name": "支付宝小二",
        "is_student_certified": "T",
        "user_type": "1",
        "user_status": "T",
        "is_certified": "T",
        "gender": "F"
    },
    "sign": "ERITJKEIJKJHKKKKKKKHJEREEEEEEEEEEE"
}

踩坑点

  1. 在开发之前一定要仔细阅读用户的授权流程指引文档,否则很容出错
  2. 对于用户信息接口,在获取授权信息接口并没有做明确的说明,所以需要先梳理清楚
  3. 支付宝的签名机制和微信的有很大不同,对于习惯了微信小程序开发的人来说,刚开始可能有点不适应,所以需要多看看sdk里面的实现
查看原文

crelaber 赞了文章 · 2019-04-04

PHP 安全问题入门:10 个常见安全问题 + 实例讲解

file

文章转自:https://learnku.com/php/t/24930

更多文章:https://learnku.com/laravel/c...

相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。

此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。但是,这并不是说你做到这几点以后,就一定能避免你的网站出现任何问题。如果你想提高你的网站安全性的话,你应该继续通过阅读书籍或者文章,来研究如何提高你的网站安全性

出于演示需要,代码可能不是很完美。日常开发过程中,很多代码都包含在了框架跟各种库里面。作为一个后台开发,你不仅要熟练基本的CURD,更要知道如何保护你的数据。

1. SQL 注入

我赌一包辣条,你肯定会看到这里。 SQL 注入是对您网站最大的威胁之一,如果您的数据库受到别人的 SQL 注入的攻击的话,别人可以转出你的数据库,也许还会产生更严重的后果。

网站要从数据库中获取动态数据,就必须执行 SQL 语句,举例如下:

<?php

$username = $_GET['username'];
$query = "SELECT * FROM users WHERE username = '$username'";

攻击者控制通过 GET 和 POST 发送的查询(或者例如 UA 的一些其他查询)。一般情况下,你希望查询户名为「 peter 」的用户产生的 SQL 语句如下:

SELECT * FROM users WHERE username = 'peter'

但是,攻击者发送了特定的用户名参数,例如:' OR '1'='1

这就会导致 SQL 语句变成这样:

SELECT * FROM users WHERE username = 'peter' OR '1' = '1'

这样,他就能在不需要密码的情况下导出你的整个用户表的数据了。

那么,我们如何防止这类事故的发生呢?主流的解决方法有两种。转义用户输入的数据或者使用封装好的语句。转义的方法是封装好一个函数,用来对用户提交的数据进行过滤,去掉有害的标签。但是,我不太推荐使用这个方法,因为比较容易忘记在每个地方都做此处理。

下面,我来介绍如何使用 PDO 执行封装好的语句( mysqi 也一样):

$username = $_GET['username'];
$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$query->execute(['username' => $username]);
$data = $query->fetch();

动态数据的每个部分都以:做前缀。然后将所有参数作为数组传递给执行函数,看起来就像 PDO 为你转义了有害数据一样。

几乎所有的数据库驱动程序都支持封装好的语句,没有理由不使用它们!养成使用他们的习惯,以后就不会忘记了。

你也可以参考 phpdelusions 中的一篇关于动态构建 SQL 查询时处理安全问题的文章。链接:  https://phpdelusions.net/pdo/...

2. XSS

XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意攻击用户的特殊目的。

下面以一个搜索页面为例子:

<body>
<?php
$searchQuery = $_GET['q'];
/* some search magic here */
?>
<h1>You searched for: <?php echo $searchQuery; ?></h1>
<p>We found: Absolutely nothing because this is a demo</p>
</body>

因为我们把用户的内容直接打印出来,不经过任何过滤,非法用户可以拼接 URL:

search.php?q=%3Cscript%3Ealert(1)%3B%3C%2Fscript%3E

PHP 渲染出来的内容如下,可以看到 Javascript 代码会被直接执行:

<body>
<h1>You searched for: <script>alert(1);</script></h1>
<p>We found: Absolutely nothing because this is a demo</p>
</body>

问:JS 代码被执行有什么大不了的?

Javascript 可以:

  • 偷走你用户浏览器里的 Cookie;
  • 通过浏览器的记住密码功能获取到你的站点登录账号和密码;
  • 盗取用户的机密信息;
  • 你的用户在站点上能做到的事情,有了 JS 权限执行权限就都能做,也就是说 A 用户可以模拟成为任何用户;
  • 在你的网页中嵌入恶意代码;
  • ...

问:如何防范此问题呢?

好消息是比较先进的浏览器现在已经具备了一些基础的 XSS 防范功能,不过请不要依赖与此。

正确的做法是坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的 XSS 攻击:

<?php

$searchQuery = htmlentities($searchQuery, ENT_QUOTES);

或者你可以使用模板引擎 Twig ,一般的模板引擎都会默认为输出加上 htmlentities 防范。

如果你保持了用户的输入内容,在输出时也要特别注意,在以下的例子中,我们允许用户填写自己的博客链接:

<body>
  <a href="<?php echo $homepageUrl; ?>">Visit Users homepage</a>
</body>

以上代码可能第一眼看不出来有问题,但是假设用户填入以下内容:

#" onclick="alert(1)

会被渲染为:

<body>
  <a href="#" onclick="alert(1)">Visit Users homepage</a>
</body>

永远永远不要相信用户输入的数据,或者,永远都假设用户的内容是有攻击性的,态度端正了,然后小心地处理好每一次的用户输入和输出。

另一个控制 XSS 攻击的方法是提供一个 CSP Meta 标签,或者标头信息,更多详情请见: https://www.html5rocks.com/en...

另外种 Cookie 时,如果无需 JS 读取的话,请必须设置为 "HTTP ONLY"。这个设置可以令 JavaScript 无法读取 PHP 端种的 Cookie。

3. XSRF/CSRF

CSRF 是跨站请求伪造的缩写,它是攻击者通过一些技术手段欺骗用户去访问曾经认证过的网站并运行一些操作。

虽然此处展示的例子是 GET 请求,但只是相较于 POST 更容易理解,并非防护手段,两者都不是私密的 Cookies 或者多步表单。

假如你有一个允许用户删除账户的页面,如下所示:

<?php
//delete-account.php

$confirm = $_GET['confirm'];

if($confirm === 'yes') {
  //goodbye
}

攻击者可以在他的站点上构建一个触发这个 URL 的表单(同样适用于 POST 的表单),或者将 URL 加载为图片诱惑用户点击:

<img data-original="https://example.com/delete-account.php?confirm=yes" />

用户一旦触发,就会执行删除账户的指令,眨眼你的账户就消失了。

防御这样的攻击比防御 XSS 与 SQL 注入更复杂一些。

最常用的防御方法是生成一个 CSRF 令牌加密安全字符串,一般称其为 Token,并将 Token 存储于 Cookie 或者 Session 中。

每次你在网页构造表单时,将 Token 令牌放在表单中的隐藏字段,表单请求服务器以后会根据用户的 Cookie 或者 Session 里的 Token 令牌比对,校验成功才给予通过。

由于攻击者无法知道 Token 令牌的内容(每个表单的 Token 令牌都是随机的),因此无法冒充用户。

<?php /* 你嵌入表单的页面 */ ?>

<form action="/delete-account.php" method="post">
  <input type="hidden" name="csrf" value="<?php echo $_SESSION['csrf']; ?>">
  <input type="hidden" name="confirm" value="yes" />
  <input type="submit" value="Delete my account" />
</form>
## 

<?php
//delete-account.php

$confirm = $_POST['confirm'];
$csrf = $_POST['csrf'];
$knownGoodToken = $_SESSION['csrf'];

if($csrf !== $knownGoodToken) {
  die('Invalid request');
}

if($confirm === 'yes') {
  //goodbye
}

请注意,这是个非常简单的示例,你可以加入更多的代码。如果你使用的是像 Symfony 这样的 PHP 框架,那么自带了 CSRF 令牌的功能。

你还可以查看关于 OWASP 更详细的问题和更多防御机制的文章: https://github.com/OWASP/CheatS....

4. LFI

LFI (本地文件包含) 是一个用户未经验证从磁盘读取文件的漏洞。

我经常遇到编程不规范的路由代码示例,它们不验证过滤用户的输入。我们用以下文件为例,将它要渲染的模板文件用 GET 请求加载。

<body>
<?php
  $page = $_GET['page'];
  if(!$page) {
    $page = 'main.php';
  }
  include($page);
?>
</body>

由于 Include 可以加载任何文件,不仅仅是PHP,攻击者可以将系统上的任何文件作为包含目标传递。

index.php?page=../../etc/passwd

这将导致 /etc/passwd 文件被读取并展示在浏览器上。

要防御此类攻击,你必须仔细考虑允许用户输入的类型,并删除可能有害的字符,如输入字符中的“.” “/” “”。

如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件。

我在不同的开发文档中,多次看到造成此类漏洞的 PHP 代码。从一开始就要有清晰的设计思路,允许所需要包含的文件类型,并删除掉多余的内容。你还可以构造要读取文件的绝对路径,并验证文件是否存在来作为保护,而不是任何位置都给予读取。

5. 不充分的密码哈希

大部分的 Web 应用需要保存用户的认证信息。如果密码哈希做的足够好,在你的网站被攻破时,即可保护用户的密码不被非法读取。

首先,最不应该做的事情,就是把用户密码明文储存起来。大部分的用户会在多个网站上使用同一个密码,这是不可改变的事实。当你的网站被攻破,意味着用户的其他网站的账号也被攻破了。

其次,你不应该使用简单的哈希算法,事实上所有没有专门为密码哈希优化的算法都不应使用。哈希算法如 MD5 或者 SHA 设计初衷就是执行起来非常快。这不是你需要的,密码哈希的终极目标就是让黑客花费无穷尽的时间和精力都无法破解出来密码。

另外一个比较重要的点是你应该为密码哈希加盐(Salt),加盐处理避免了两个同样的密码会产生同样哈希的问题。

以下使用 MD5 来做例子,所以请千万不要使用 MD5 来哈希你的密码, MD5 是不安全的。

假如我们的用户 user1user315 都有相同的密码 ilovecats123,这个密码虽然看起来是强密码,有字母有数字,但是在数据库里,两个用户的密码哈希数据将会是相同的:5e2b4d823db9d044ecd5e084b6d33ea5

如果一个如果黑客拿下了你的网站,获取到了这些哈希数据,他将不需要去暴力破解用户 user315 的密码。我们要尽量让他花大精力来破解你的密码,所以我们对数据进行加盐处理:

<?php
//warning: !!这是一个很不安全的密码哈希例子,请不要使用!!

$password = 'cat123';
$salt = random_bytes(20);

$hash = md5($password . $salt);

最后在保存你的唯一密码哈希数据时,请不要忘记连 $salt 也已经保存,否则你将无法验证用户。

在当下,最好的密码哈希选项是 bcrypt,这是专门为哈希密码而设计的哈希算法,同时这套哈希算法里还允许你配置一些参数来加大破解的难度。

新版的 PHP 中也自带了安全的密码哈希函数 password_hash ,此函数已经包含了加盐处理。对应的密码验证函数为 password_verify 用来检测密码是否正确。password_verify 还可有效防止 时序攻击.

以下是使用的例子:

<?php

//user signup
$password = $_POST['password'];
$hashedPassword = password_hash($password, PASSWORD_DEFAULT);

//login
$password = $_POST['password'];
$hash = '1234'; //load this value from your db

if(password_verify($password, $hash)) {
  echo 'Password is valid!';
} else {
  echo 'Invalid password.';
}

需要澄清的一点是:密码哈希并不是密码加密。哈希(Hash)是将目标文本转换成具有相同长度的、不可逆的杂凑字符串(或叫做消息摘要),而加密(Encrypt)是将目标文本转换成具有不同长度的、可逆的密文。显然他们之间最大的区别是可逆性,在储存密码时,我们要的就是哈希这种不可逆的属性。

6. 中间人攻击

MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如ISP运营商。

对此的唯一防御是使用 HTTPS,使用 HTTPS 可以将你的连接加密,并且无法读取或者篡改流量。你可以从 Let's Encrypt 获取免费的 SSL 证书,或从其他供应商处购买,这里不详细介绍如何正确配置 WEB 服务器,因为这与应用程序安全性无关,且在很大程度上取决于你的设置。

你还可以采取一些措施使 HTTPS 更安全,在 WEB 服务器配置加上 Strict-Transport-Security 标示头,此头部信息告诉浏览器,你的网站始终通过 HTTPS 访问,如果未通过 HTTPS 将返回错误报告提示浏览器不应显示该页面。

然而,这里有个明显的问题,如果浏览器之前从未访问过你的网站,则无法知道你使用此标示头,这时候就需要用到 Hstspreload。

可以在此注册你的网站: https://hstspreload.org/

你在此处提交的所有网站都将被标记为仅 HTTPS,并硬编码到 Google Chrome、FireFox、Opera、Safari、IE11 和 Edge 的源代码中。

你还可以在 DNS 配置中添加 Certification Authority Authorization (CAA) record ,可以仅允许一个证书颁发机构(例如: Let's encrypt)发布你的域名证书,这进一步提高了用户的安全性。

7. 命令注入

这可能是服务器遇到的最严重的攻击,命令注入的目标是欺骗服务器执行任意 Shell 命令

你如果使用 shell_exec 或是 exec 函数。让我们做一个小例子,允许用户简单的从服务器 Ping 不同的主机。

<?php

$targetIp = $_GET['ip'];
$output = shell_exec("ping -c 5 $targetIp");

输出将包括对目标主机 Ping 5次。除非采用 sh 命令执行 Shell 脚本,否则攻击者可以执行想要的任何操作。

ping.php?ip=8.8.8.8;ls -l /etc

Shell 将执行 Ping 和由攻击者拼接的第二个命令,这显然是非常危险的。

感谢 PHP 提供了一个函数来转义 Shell 参数。

escapeshellarg 转义用户的输入并将其封装成单引号。

<?php

$targetIp = escapeshellarg($_GET['ip']);
$output = shell_exec("ping -c 5 $targetIp");

现在你的命令应该是相当安全的,就个人而言,我仍然避免使用 PHP 调用外部命令,但这完全取决于你自己的喜好。

另外,我建议进一步验证用户输入是否符合你期望的形式。

8. XXE

XXE (XML 外部实体) 是一种应用程序使用配置不正确的 XML 解析器解析外部 XML 时,导致的本地文件包含攻击,甚至可以远程代码执行。

XML 有一个鲜为人知的特性,它允许文档作者将远程和本地文件作为实体包含在其 XML 文件中。

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY passwd SYSTEM "file:///etc/passwd" >]>
   <foo>&passwd;</foo>

就像这样, /etc/passwd 文件内容被转储到 XML 文件中。

如果你使用 libxml 可以调用 libxml_disable_entity_loader 来保护自己免受此类攻击。使用前请仔细检查 XML 库的默认配置,以确保配置成功。

9. 在生产环境中不正确的错误报告暴露敏感数据

[](https://secure.php.net/manual...,可能会在生产环境中因为不正确的错误报告泄露了敏感信息,例如:文件夹结构、数据库结构、连接信息与用户信息。
file

你是不希望用户看到这个的吧?

一般根据你使用的框架或者 CMS ,配置方法会有不同的变化。通常框架具有允许你将站点更改为某种生产环境的设置。这样会将所有用户可见的错误消息重定向到日志文件中,并向用户显示非描述性的 500 错误,同时允许你根据错误代码检查。

但是你应该根据你的 PHP 环境设置: error_reporting 与 display_errors.

10. 登录限制

像登录这样的敏感表单应该有一个严格的速率限制,以防止暴力攻击。保存每个用户在过去几分钟内失败的登录尝试次数,如果该速率超过你定义的阈值,则拒绝进一步登录尝试,直到冷却期结束。还可通过电子邮件通知用户登录失败,以便他们知道自己的账户被成为目标。

一些其他补充

  • 不要信任从用户传递给你的对象 ID ,始终验证用户对请求对象的访问权限
  • 服务器与使用的库时刻保持最新
  • 订阅关注安全相关的博客,了解最新的解决方案
  • 从不在日志中保存用户的密码
  • 不要将整个代码库存储在 WEB 根目录中
  • 永远不要在 WEB 根目录创建 Git 存储库,除非你希望泄露整个代码库
  • 始终假设用户的输入是不安全的
  • 设置系统禁止可疑行为的 IP 显示,例如:工具对 URL 随机扫描、爬虫
  • 不要过分信任第三方代码是安全的
  • 不要用 Composer 直接从 Github 获取代码
  • 如果不希望站点被第三方跨域 iframe,请设置反 iframe 标示头
  • 含糊是不安全的
  • 如果你是缺乏实践经验的运营商或合作开发人员,请确保尽可能时常检查代码
  • 当你不了解安全功能应该如何工作,或者为什么会安装,请询问知道的人,不要忽视它
  • 永远不要自己写加密方式,这可能是个坏的方法
  • 如果你没有足够的熵,请正确播种你的伪随机数生成并舍弃
  • 如果在互联网上不安全,并有可能被窃取信息,请为这种情况做好准备并制定事件响应计划
  • 禁用 WEB 根目录列表显示,很多 WEB 服务器配置默认都会列出目录内容,这可能导致数据泄露
  • 客户端验证是不够的,需要再次验证 PHP 中的所有内容
  • 不惜一切代价避免反序列化用户内容,这可能导致远程代码执行,有关此问题的详细信息,请参阅此文章: https://paragonie.com/blog/20...

小贴士

我不是一个安全专家,恐无法做到事无巨细。尽管编写安全软件是一个非常痛苦的过程,但还是可以通过遵循一些基本规则,编写合理安全的应用程序。其实,很多框架在这方面也帮我们做了很多工作。

在问题发生之前,安全性问题并不像语法错误等可以在开发阶段追踪到。因此,在编写代码的过程中,应该时刻有规避安全风险的意识。如果你迫于业务需求的压力而不得不暂时忽略一些安全防范的工作,我想你有必要事先告知大家这样做的潜在风险。

如果你从这篇文章有所收益,也请把它分享给你的朋友们把,让我们共建安全网站。

文章转自:https://learnku.com/php/t/24930

更多文章:https://learnku.com/laravel/c...
查看原文

赞 148 收藏 110 评论 4

crelaber 关注了收藏夹 · 2019-03-27

RabbitMQ 消息代理器教程

关注 136

crelaber 关注了收藏夹 · 2019-03-27

PHP 下的异步尝试

关注 77

crelaber 关注了收藏夹 · 2019-03-27

深入理解 HashMap

关注 358

crelaber 关注了收藏夹 · 2019-03-27

Python 进阶之路

关注 84

crelaber 关注了收藏夹 · 2019-03-27

PHP 代码片段

关注 53

crelaber 关注了收藏夹 · 2019-03-26

《CSS 世界》笔记

关注 157

认证与成就

  • 获得 290 次点赞
  • 获得 6 枚徽章 获得 0 枚金徽章, 获得 0 枚银徽章, 获得 6 枚铜徽章

擅长技能
编辑

(゚∀゚ )
暂时没有

开源项目 & 著作
编辑

(゚∀゚ )
暂时没有

注册于 2016-06-03
个人主页被 735 人浏览