做了多年的web开发，遇到过很多刚刚毕业的兄弟以及刚入行的朋友。 经常在做一些功能时候，从技术设计本身出现各种问题。 他们在程序语言方面非常熟悉，但是做出来经常出现重大安全隐患！主要是用代码实现需求时候，考虑不全面，因此存在各种设计缺陷，产生技术漏洞！一些书本只会教我们 怎么样去实现功能， 而不会说 怎么样完美、无bug实现。这也是我 想写 应用安全的原因！ 希望给所有做web开发朋友，一些借鉴，写出更完美的程序！

上一段简单代码吧，限制只有某个a.com 来源站点，可以访问一个页面，我们代码一般如下：

<?php
//读取reffer
$reffer = isset($_SERVER["HTTP_REFFER"])?$_SERVER["HTTP_REFFER"]:'';

if(strpos($reffer,"a.com")===false)
{
    exit('禁止访问!');
}

////继续执行

以上代码，大家应该在一些demo里面，还有书本上面都有看到过，并且也会这样写的。 据说，weixin分享地址时候，也通过这种方式来检查是不是它们的域名呢。

问题出在那里呢？

一个 url 地址格式是： 协议://user：pass@host/path?query#hash  ，可以看到 如果只是简单检测uri 里面是否有a.com ，是不是太容易被绕过了？ 只要自己地址是http://b.com#a.com  ，是不是一样可以访问我们资源了？

哈哈， 是不是回想起自己某时候也这么写过呢！  ，希望这个例子能够激发您的兴趣，我们除了能实现逻辑，好的程序员，应该要做到安全稳定、实现高性能程序！ 当然，我们接下来主要讲的是怎么安全实现常见web应用功能。

接下来章节，我就以做一个 简单网页 ‘留言薄’来说吧！  “啊？ 为什么是 做留言薄呢”， 其实一个留言板里面功能，也能涉及到我们方方面面了，麻雀虽小、五脏俱全啦！ 另外， 记忆最深刻的的，我第一次学习web程序时候，也是从留言薄开始的呢！

待续……，先跟朋友们说晚安了！

这里我观点是，应用对参数检测可以分为2个关卡，第一个关卡可以是，保证参数输入安全。第二个关卡是保证它是业务所需要的值。一个应用，保证安全是最基础的。我们第一关检测参数，怎么样做比较好呢？

标识参数方法？

所有web传入都是字符串，我们怎么样标识字符串呢？字符串都是有字符组成的，常见是ascii码，对于中文网站，有gb2312,gbk等字符。从这里看，字符个数会很多。它们之间如果做长度不一组合字符串，将会更多了。 因此，再一次说明，不要用现在字符串方法，来检测！有可能你需要限制是无底洞！可以说，对于我们一个web应用参数，90%以上，基本在ascii码就可以，很少参数会突变到这100多个字符范围。所以，标识一个字符串，可以从以下2个方面来限制：

1、字符串 中字符范围 （如：如果是手机号0-9，用户名可能是字母+数字之类）

2、字符串 长度 （如手机号是：11位，用户名可能是：6-15位）

以上方法可以保证，不在用户需要字符范围的字符，一定不能进入后端！我们看看一般例子！

<?php /** *读取get值 *@copyright http://blog.chacuo.net *@author 8292669 *@param $k string get参数名称 *@param $p string 正则表达式内容 *@return string|array 读取值 */ function input_get($k,$p='.*') { $v = isset($_GET[$k])?$_GET[$k]:''; if(is_array($v)) { $_v = array(); foreach ($v as $k=>$_v1) { $_v[$k]=!preg_match("/^".$p."$/",$_v1)?'':$_v1; } return $_v; } return !preg_match("/^".$p."$/",$v)?'':$v; }

测试：var_dump(input_get(‘a’,'\d+’),input_get(‘b’,'\d+’));  读取a,b参数，都为数字的！

因为参数b输入是：2ccc，因此不是0-9字符。所以返回为空字符串！

上面这样每次输入正则表达式确实很麻烦的，其实，一个应用，业务字段，应该都比较固定，我们可以再在该基础上面，进一步封装些，取独立业务字段函数。如：input_getUser($k) 专门读取用户名，input_getQQ($k)专门读取QQ号。如此类推，然后我们发现真的需要独立写检测的变得非常少了！

怎么样限制中文字符？

我有一个真实姓名框，需要输入真实姓名！我该怎么样检测？我们知道常见中文字符表是gb2312，其实中国人取名字现在都需要在常见汉字里面挑选。也就是在区位码表中找。所以，我们问题就变成了，怎么样检查用户输入是不是在gb2312字符集中。gb2312是多字节的，一个中文都是2个字节。只要我们先对好范围就可以了。 gb2312字符集表，我们可以查看：http://doc.chacuo.net/gb2312 ，

第一个字节范围是：A1-F7 第2个字节范围是A1-FE ，因此我们正则表达式可以写成：[\xA1-\xF7][\xA1-\xFE] 就可以对2个字节限制了。 “怎么拿过去用不了?”，这里我们做中文限制，只完成第一步，在指定字符集中，找好需要用到中文的字符编码。第二步，就是你要将原字符串转码为该字符集编码。如：你如果是utf-8编码，你需要将获取字符串先转码为gb2312，然后再用gb2312字符位置 正则表达式来检测！ 如果，你不转码，你发现刚刚找的那个字符位置正则表达式毫无用处了！通过这个，我们注意做中文位置检测时注意：

1、选择好字符集，找好字符位置，准备好字符范围的正则表达式

2、将待检测字符串，转码为选号的字符集的编码

现在，我们知道了字符串检测方法了，无论简单参数、还是复杂中文字符参数！我们都可以轻松完成了！通过字符串中字符范围定位需要字符在实际检测中，非常安全！ 因为，很多经常出现问题字符，都不会出现在应用的参数中！只要我们保证第一个关卡，只允许包含业务相关的字符的字符串进入！应用安全，基本上没有问题！好了，就到这里吧！欢迎朋友们发表自己观点！

主要问题出现在3个方面：

1、对检查认识不够！经常忘记必要参数检测，特别对于一些页面只是传值，而没有写入到后端存储的参数，更是很容易遗漏！

2、对那些是输入的、那些是系统环境参数 有些没有明白，导致错误的放过该检查的参数！

3、检查方法不正确、往往检查过后，还存在问题！

我说说自己的一些看法吧，所有一切首先要认识到参数检查的重要性！

为什么要参数检查？

我们还是从生活中来看吧，现在社会上，下班回家进入小区，门口保安要检查门卡，有卡才可以进入！到公司了，进门禁系统，公司需要刷员工卡，然后进入公司！现在学校、机关等等，我们发现都会有个检查的，大家都很清楚，它的目的是保证大家安全，让一些自己允许的人才可以进入！我们发现，所有检查地点，都是在分界隔离地方，也就是在进入的入口上！

从上面这些场景，我们发现生活中，为了我们安全！在进入一些私人区域，都有检查口。其实web检查也是可以比拟的！web参数是最前端用户与系统接口地方，因此这个地方检查是必要的！我们只能允许满足要求的进入后端系统！这也是保证后端系统安全的前提！

漏掉该检查地方隐患！

这个问题，同样存在！前段时间，听到一个新闻，一个很高档的小区有很好的安全门禁检查！但是，它的地下车库到楼上，就没有增加检查！后来，一些别有用心的人，专门租车，从地下车库上到居民楼，进行偷盗！还有个新闻，一个小区进门地方，如果是单人的话，会检查，但是如果你开车进入，特别是名牌车！基本上不检查！后来，也导致一伙别有用心的人，驾车进入偷盗！我们做web应用，一定要知道那些参数来源于用户端输入，php代码里面的：$_GET,$_POST,$_REQUEST,$_SERVER,$_COOKIE,$_FILES等。那些来自用户，那些是系统！清清楚楚，明明白白检查！

怎么样检查才正确？

这些我们也可以看看现实生活中，我们发现公司、小区、学校，每个进入的人，都要有一张发的卡，只有持卡人才可以进入！这个是限定用户范围的，只有限定范围才可以进入！这种检查方法，很常用的，也很安全！换个思路，如果小区里面，认为自己小区高档，来小区的都穿着不错。因此，把检查改为：穿正装可以进入！这样一来，如果刚好小区里面有人因为某种原因，而穿着匆忙，可能不让进入！而另外，对于别有用心的人，买套正式衣服应该很容易！因此，也很容易逃过检查！

从上面两个例子我们不难发现，生活中经常检测是：通过发卡，限定用户群；而少用排除法方法！这也是，我们web参数检查中推荐的方法，限定参数的范围；不做、少做参数过滤替换检查！

好了，上面这些方法其实都来自生活，大家一看都明白！如果真的遇到做参数检查时候，有些迷糊！不妨想想生活中例子！其实，程序都是解决实际生活中问题，并且很多都来自于生活！参数需要检查、并且需要正确检查！下一节我将，谈谈对于参数检查范围检查的一些自己看法！欢迎大家交流！

对于Jsonp漏洞，这里我就不细说了，详细可以看：Jsonp常见安全漏洞分析(京东商城Jsonp 漏洞分析) ，从上面文章，我们知道jsonp是可以跨域名调用的。这个漏洞是：没有授权网站，可以直接在该站点访问jsonp接口资源。可能有朋友会问题：“这个漏洞有什么影响呢？”，一般我们常见有：

1.对于存在漏洞的网站来说：jsonp资源给外部调用，浪费接口资源，也给调用带来压力

2.利用者，可以通过jsonp获取网站资源，构造钓鱼站点，或者给用户发送钓鱼站点。获取用户在漏洞网站上面的用户信息（用户登陆情况下），或者偷偷操作用户功能！

具体我们看看实例：

我们看看，如果有个另外域名站点，怎么样调用该信息！

<?php header("Content-Type: text/html; charset=utf-8"); ?> <script> function jsonp13724(d) { console.log(d); } </script> <script type="text/javascript" src="http://my.jd.com/order/rec.action?jsoncallback=jsonp13724"> </script>

总结，通过上面例子，对于jsonp跨站访问，带来资源别越权调用漏洞。我们应该知道了它的原理。如果要防止这类越权访问，我们一般只需要对访问来源：reffer进行授权 这是最简单的方法！ 也是最常用方法了。如果有朋友会问，这个漏洞有什么危害呀，看起来好像没有什么问题？如果一个站点别有用心站点(这里叫A站)，在京东商城上面发了一个链接。有不小心朋友点过去。这个时候，你刚好自己登陆了。这个时候，A站就可以悄悄读到你在京东商城一些信息了。到此，对京东商城jsonp漏洞都分析完毕，国内这么大一个商城，在这个方面使用，几乎没有做任何检测，确实有些不应该！希望，以上分析对即将应用jsonp朋友有所帮助！也需要大家发表自己看法！

GBK字符集漏洞注入原理

<?php $u=isset($_GET['u'])? $_GET['u']:''; $u=addslashes($u); $sql = "select * from user where user='$u'";

以上是我们写的一个测试例子（GBK编码），现在很多开源系统，比较少的进行统一参数过滤，有时候为了防止注入，就直接对参数进行转义处理。我们看看，这样一个例子，我们怎么样注入进系统！

步骤	备注
1.传入值%D5%27 or 1=1#	u参数参入上面值 (%27 对应是“’”  单引号字符)
2.GET获取的值	0xD50x27 or 1=1#
3.Addslashes后值	0xD50x5C0x27 or 1=1 (意思是：誠’ or 1=1#’)  #字符后面被注释掉
4.sql值 将变成	select * from user where user=’誠’ or 1=1#’
#号是sql注释符号，后面字符将截取掉

GPC转义打开，或者是通过addslashes函数，会自动在字符是单引号（‘）、双引号（"）、反斜线（\）与 NUL（NULL 字符）等字符前面增加“\”字符（0x5c)，例子里面，我们采用一个特殊前面字节0xD5，它将与该字节组合变成：0xD50x5c ，刚好是gbk字符集中字符：”誠“ 了。 后面的0×27这个单引号被保留下来了！

GBK字符集漏洞注入总结

呵呵，这个很有意思吧，好了。我们来总结下，这类注入是2个条件的。第一是：gbk编码，第二是：程序采用了转义方法，转义了输入。 这2个条件不苛刻，目前大部分开源系统都有gbk,utf-8编码的源码，剩下的就去看看，源码里面有没有用类似转义方法，过滤字符串了。如果有，那么这个系统某个功能，你可以去渗透下了。这个编码漏洞，网上面提的很多，不过很多时候，没有引起开发人员的足够重视，还是在不断的重现！

那么我们如果要注入一个参数，我们该选择什么样的入参参数呢？其实这种转义字符是单引号（‘）、双引号（"）、反斜线（\）与 NUL（NULL 字符），我们这些字符往往在程序中有特殊作用，我们只需要在前面加一个在>7F字符，后面接一个%27（‘）、%22（"）、%5C（\）、%00（NULL 字符），就可以自己让这4个字符，可以逃脱转义了。

好了，这个漏洞原理及注入过程分析就这些了。我们开发时候，需要注意这个问题，特别是使用GBK编码开发程序，要有这个方面的预备知识，对于自己开发安全的代码会有帮助的。更多的GBK编码，可以看http://doc.chacuo.net/gbk ！（这里有很多落在5c中文字符呢）也欢迎讨论！

多字节编码由来

我们先来看看最常用的，最小字符集是ascii，对应的二级制可以表示为：00-7F 编码 。它也是我们计算机使用最早通用的字符集。前期几乎可以表示所有英文字符。后来，更多使用计算机国家加入后，我们就想在计算机中表示中文字符。我们知道常见中文就有7000多个字符。ascii码就只有128字符，只有0-127编码位置，远远不够用了。因此，我们就开始制作更大字符集，并且保证兼容ascii编码。要支持更多字符，选择更大字符集。我们只能用多个字节来描述一个字符了。为了很好的与ascii码，区分开来！一般做法是：每个字节值都大于>7F，如果是2个字节，那么就是：[>7F][>7F]。这样编码，保证很好的与ascii区分开，并且扩大了字符集。像gb2312范围在[0xA1-0xF7][0xA1-0xFE](中间很多没有填满)，它完全保证所有字节在A0之上，也就完全满足在7F之上了。

GBK编码漏洞缘由

通过上面的分析，我们知道gb2312编码是很好的跟ascii码分开了。 那么我们看看，GBK编码呢，它是完全兼容gb2312（就是说在gb2312字符集中每个字符位置，与gbk字符集里面位置完全一致，而且包含于gb2312)，但是，它有2万多个字符。从上面看，只能选择往下排序了。 就是从A1A0往下排了，我们发现它编码实际范围是：[0x81-0xFE]([0x40-0x7E|0x80-0xFE] ) （GBK编码），我们发现由2个字节组成，首字节范围在7F之上，而第2个字节，有一部分在0×40-0x7E了。这就是导致bug原因。我们看看下面例子吧！

从ASCII码表中，我们知道0×40-0x7E 包含字符有：“A-Za-z@[\]^_`{|}~”，一共有63字符呢。

选择gbk编码，运行上面代码，就一条简单的命令导致出现错误，说字符串 赋值 没有结束！ 呵呵，估计很多人看到这个就会认为是php 出Bug了。但是，如果我们变成$a=”誠a”，发现可以正常运行了。是不是觉得很奇葩啦！！

 

原因分析:我们知道文件存在磁盘都是二级制方式，无论你存什么字符，最终都是以该字符的在所选字符集中字符编码保存。php解析时候，最小分析单元是字节。无论你是多字节还是单字节字符。最终都是按照字节来处理的。“誠”  GBK编码是 D55C，php按字节来解释，5C对应字符是“\” 字符。后面直接跟个‘”’，相当于被转义了。 因为没有闭合，因此出现错误！。大家看出问题所在了吧，按自己处理的话，会自然把多字节拆成单字节了。这样就会出现很多奇怪问题了。

总结：通过上面讲解，我们知道了多字节编码过程，以及GBK导致简单程序出错的原因。其实，我们很多程序语言里面，都会以单个字节来解析的。这样，当你选择多字节GBK编码中文时，刚好有字节落在特殊位置，将会出现奇怪错误问题。而且，还将给系统带来本身的漏洞，后面我再说说，GBK编码缺陷，导致漏洞、以及专门利用该编码漏洞缺陷进行系统入侵！好了，先到这里了，欢迎交流！

题外话

为什么我选择是京东商城来分析它的jsonp 漏洞呢，其实主要原因最近6.18一直在做活动，我也买了不少便宜东西。现在该商城越做越好了。它系统也非常庞大，速度性能也很好。当时在购物时候，只是想看看，它的系统分离设计方面。通过分析页面http请求，发现有很多jsonp调用（也许跟换域名有关系，2种域名都可以访问，中间用jsonp交换数据），于是就看看，jsonp常见2种安全方面，有没有做处理。结果一测试。发现完全没有做任何处理，几乎是完完全全暴露出来。个人认为，对于这么大站点，这一点还是头一次遇到！居然，没有任何参数处理、以及资源授权！

京东商城Jsonp xss漏洞分析

我们看到，该请求就是一个jsonp，

默认返回：jsonp13**********({“Identity”:{“Name”:”",”IsAuthenticated”:false}})，我们知道callback传入参数，会在response中 作为函数调用名称返回！

分析callback 字符范围

1、测试下有没有屏蔽常见特殊字符” <> ()’”;. {}“，以下这些字符，经常会用到xss里面的。

到这里，分析说明这里存在着xss注入漏洞的。而且，可以选择很多种方法注入！ 本编文章，旨在说明jsonp xss漏洞成因！不会具体去扩大漏洞拿到其它什么权限。以下还有个很有意思事情，callback其实，jd对一些特殊字符串做了处理的。我们看看：

从上图中，我们可以看到，京东商城，对输入callback对一些特定的字符串进行了屏蔽处理！这也是，我们做xss漏洞检查时候，经常出现问题。屏蔽字符串能够屏蔽完吗？常见26字符，长度不一任意组合。该有多少字符串呢？ 很多朋友，在做安全检测时候，就是屏蔽某些觉得很不安全的标签就认为安全了。 其实，我们发现这样做法只能是一时安全，过不了多久，你会发现又有新的字符串出现。你会为此花费大量的人力物力！好了，做类似事情，我们最好方法是，认证那些觉得安全的字符，予以放行！

其实，为什么用白名单方法放行允许的字符呢？ 而不是去过滤一些字符串。原因刚刚说了，字符串太多了。过滤不过来！另外是，我们自己每个业务参数，会用到那些字符其实我们更清楚。另外有人会问，为什么不去屏蔽不用的字符呢？我们知道基础ascii码有0-127,128字符。往往我们，不会用到的字符可能更多呢，我们去过滤不会用到字符，有时候更困难！

正确检查jsonp callback方法

建议收到callback函数对它进行白名单字符范围检测！我们可以用一般函数检测规范来检查就可以了。 既然它是一个函数名称，一般都是字符+数字+下划线+点号（对象分割）。那么我们检测变得非常简单，代码类似如：

1 2 3 4 5 6 7

<?php $callback = isset($_GET['callback'])?$_GET['callback']:'';   if(!preg_match("/^[0-9a-zA-Z_.]+$/",$callback)) { exit('参数错误！'); }

后记：以上是分析一个jsonp xss漏洞过程。要检测一个站点是否有该漏洞，其实简单方法，就是看通过参数传入进去的特殊字符，是不是原原本本的response 返回出来。 如果有朋友问我，怎么样利用该漏洞，它能做点什么？ 你可以把它比作一个蚁穴，能带来多大危害，看蚂蚁怎么样啃食啦！这些年，sql注入几乎难找了，不过xss漏洞是头号杀手。只要有xss漏洞出现，几乎可以做到无所不能，就看利用的人怎么用了。 以上漏洞，我反馈京东商城，这么好的一个网站，不能因为这个小小xss，给用户带来大的安全隐患了！最后，欢迎朋友提出自己建议！还有一个忘记说了，就是它的jsonp访问权限完全没有限制，下次再分享吧！

JSONP跨域请求例子

传统的ajax ，往往是 XMLHttpRequest ，读取一个接口，返回类似: {“Name”: “小明”, “Rank”: 7} json值。一般我们都采用xmlhttprequest方法通过状态判断执行请求是否完毕。

JSONP的使用模式里，该URL回传的是由自定义传入函数名，动态生成JSON作为该函数入参，这就是JSONP 的“填充（padding）”或是“前辍（prefix）”的由来。

请求：

<script type="text/javascript"
         src="http://www.example.com/RetrieveUser?UserId=1823&callback=parseResponse">
     </script>

返回：

parseResponse({"Name": "Cheeso", "Id" : 1823, "Rank": 7})

parseResponse是传入参数值决定的，这样好处通过script标签可以解决跨域问题，并且只要script src地址加载完，js解析引擎就开始执行src地址返回 js内容了。 我们使用者不用关心，什么时候src地址加载解析完。只用写好接收函数：parseResponse，到时候自动回执行该项目。比传统ajax确实多了很多方便！目前，象google翻译，地图等都用该方法。实现了跨域及异步调用！

JSONP漏洞将来自哪里？

它给我们带来的发布，是毫无疑问的。那么它将会有哪些漏洞呢？首先，我们知道，一切输入是有害的。传入callback 值会在结果里面直接返回。因此，如果该参数过滤不严格。可以随便输入：callback值为：alert(‘1’);parseResponse  字符串。返回结果会打印个alert窗口，然后也会正常执行。

那么另外我们知道，flash是可以跨域的。flash请求外部资源，现在都有个”crossdomain.xml”，可以授权允许那些来源的站点，访问指定站点的资源。其实目的就是为了防止，资源被越权调用了。 如果我们不对其授权，那么任何网站都可通过：创建script标记，读取我网站资源了！这个安全项，也就是是否有对访问来源进行了授权访问！

JSONP漏洞总结：

知道了JSONP漏洞点主要有：callback参数注入、资源访问授权设置！我们其实，可以通过这2项，来检测我们的做的JSONP项目，里面是否有安全隐患了。好了，今天先分析到这里。这些漏洞都是，技术实现型漏洞！只要，我们明白了方法，杜绝是很容易的。之所以会出现类似安全隐患，更多来自，不知道这里有类似安全问题！ ，题外话、发发感慨！！现在网上看到很多教程，以及书籍都只会讲，怎么样使用某个功能，它的方法、技巧等等！很少解决，技术功能点安全避免漏洞的调用方法！做一个功能很重要，但是我始终认为，开发一个安全、稳定功能是最基础的前提。 如果做的功能不安全，稳定！它急着上线，只会带来更大的风险、或是损失！！！   欢迎大家交流，提出更换的建议！（”什么？这里不是说京东商城有JSONP漏洞吗？“  ”对!没错！” 今天我这里分析漏洞点，大家可以找找京东商城这方面使用漏洞，我们下次分享实例！)

这里我们经常用header发送302跳转，会发现一个问题。在走查代码时候，遇到很多同人会有类似操作代码，如：

1 2 3 4

<?php header("Content-type: text/html; charset=utf-8");   //判断用户是否授权

1 2 3 4 5 6 7

if('用户未授权') { header("location:forbidden.php"); }   ///下面是进行摸个记录操作 //删除条记录，或者修改某条记录……

1

这类代码，在开发中很常见，我们会发现，一个没有权限用户，操作该记录，网页会跳转到未授权页面，但是：记录任然被修改了，问题我们找到了，一般操作人员，对于js跳转会知道是前端浏览器跳转的。但是对于php操作跳转，错误认为是服务器跳转，好像php以执行到location，然后就终止了下面运行。 其实，知道header函数真实意义就很容易理解了：header() is used to send a raw HTTP header！

header location 302实际上只是如下：

跟其它普通echo 函数没有多大区别，只是给header信息头,echo 一行而已。

屏蔽Bug方法：

知道了，发送header跳转，服务器不会终止程序，因此为了安全起见。header locaction后，最好加一句exit()函数。 这样，php解析引擎就会停止解析了！我们正确方法是封装个header_302方法

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

<?php /*header_302跳转* * * *@author http://blog.chacuo.net/ * @param string $url 跳转url */ function header_302($url) { if(headers_sent()) { exit('header 已经发送过！'); } header("location:$url"); exit(); }

后记：这类问题，不光出在php程序中，其它很多header loction跳转语言程序，原理相同。都有类似功能，很多时候。都是使用时候没有注意，造成的。 容易在代码走查中，遗漏掉！好了，先到这里，欢迎交流！

我们先看下下面一段代码，通过用户输入不同目录，包含不同文件

<?php
///读取模块名称
$mod = isset($_GET['m'])?trim($_GET['m']):'index';

///过滤目录名称不让跳转到上级目录
$mod = str_replace("..",".",$mod);

///得到文件
$file = "/home/www/blog/".$mod.".php";

///包含文件
@include($file);

这段代码，可能在很多朋友做的程序里面有遇到过，对于新人来说，也是很容易出现这样问题，记得走查遇到该代码时候，我问到，你这个代码安全方面能做到那些？

答：1. 对”..”目录有做替换，因此用户传入模块名里面有有..目录都会被替换掉了。

         2.构造拼接file名称，有前面目录限制，有后面扩展名限制，包含文件就会限制在该目录了

• 这段代码真的做到了目录安全检测吗？

我们来测试下，如果$mod传入这个值将会是什么样的结果。

$mod 通过构造输?mod=…%2F…%2F…%2F…%2Fetc%2Fpasswd%00 ，我们看结果将是：

居然include(“/etc/passwd”)文件了。

• 怎么逃脱了我参数限制呢？

首先：做参数过滤类型去限制用户输入本来就不是一个好方法，一般规则是：能够做检测的，不要做替换 只要是检测不通过的，直接pass 掉！这是我们的一个原则。过滤失败情况，举不胜举，我们来看看，实际过程。

1、输入”…/…/…/” 通过把”..” 替换为”.”后

2、结果是”../../../” 就变成了这个了

有朋友就会说，如果我直接替换为空格是不是就好了？在这个里面确实可以替换掉。但是不代表以后你都替换为空格就好了。再举例子下。如：有人将字符串里面javascript替换掉。代码如下：

……

$msg = str_replace(“javascript”,””,$msg);

看似不会出现了javascript了，但是，如果输入:jjavascriptavascript 替换，会替换掉中间一个变为空格后。前面的”j” 跟后面的会组成一个新的javascript了。

其次：我们看看，怎么逃脱了，后面的.php 限制呢。用户输入的参数有：”etc/passwd/0” ，\0字符非常特殊，一段连接后，文件名称变成了”……etc/passwd\0.php”，你打印出该变量时候，还是正确的。但是，一段放入到文件读写操作方法里面，\0后面会自动截断。操作系统，只会读取……etc/passwd文件了。 “\0”会出现在所有文件系统读写文件变量中。都会同样处理。这根c语言\0作为字符串完整标记有关系。

通过上面分析，大家发现做文件类型操作时候，一不注意将产生大的漏洞。而且该漏洞就可能引发一系列安全问题。

• 该怎么做文件类操作呢？

到这里，估计有人就会思考这个，做文件读写操作时候，如果路径里面有变量时候，我该怎么样做呢？有人会说，替换可以吗？ “可以”，但是这个方法替换不严格，将会出现很多问题。而且，对于初写朋友，也很难杜绝。做正确的事情，选择了正确的方法，会从本身杜绝问题出现可能了。 这里，我建议：对于变量做白名单限制。

1. 什么是白名单限制
   

   举例来说：

   $mod = isset($_GET['m'])?trim($_GET['m']):’index’; ///读取模块名称后

   mod变量值范围如果是枚举类型那么：

   if(!in_array($mod,array(‘user’,’index’,’add’,’edit’))) exit(‘err!!!’);

   完全限定了$mod，只能在这个数组中，够狠！！！！

    

2. 怎么做白名单限制

通过刚才例子，我们知道如果是枚举类型，直接将值放到list中即可，但是，有些时候，这样不够方面。我们还有另外一个白名单限制方法。就是限制字符范围

举例来说：

$mod = isset($_GET['m'])?trim($_GET['m']):’index’; ///读取模块名称后

我限制知道$mod是个目录名称，对于一般站点来说，就是字母加数字下划线之类。

if(!preg_match(“/^\w+$/”,$mod)) exit(‘err!!!’);

字符只能是：[A-Za-z0-9_] 这些了。够狠！！！

总结：是不是发现，白名单限制方法，做起来其实很简单，你知道那个地方要什么，就对输入检测必须是那些。而且，检测自己已知的，比替换那些未知的字符，是不是简单多了。 好了，先到这里，正确的解决问题方法，会让文件简单，而且更安全！！欢迎交流！

其实，我们抓住几个地方即可，我们先来分析下，既然用户要上存文件，而且文件将是多种多样格式；可能有的文件内容与用户传入格式不一致，有的文件内容还夹杂木马代码。 那么，我们让用户上存文件，跟站点文件做一个分别授权，做隔离。

• 让保存上存目录独立开来，目录权限只读不能执行

这一步从系统设计加以授权，无论你上次什么文件，都不可能执行到。就算我不做任何检测，你的文件都上存到这里了，也不会对我系统构成安全。（如果有用户上存一些反动言语的图片，那另外需要处理的）

• 不直接使用服务器传入值，所有都要进行检测

这类跟我们做一切输入都是有害原则一样，对于客户端传入的：type, name ，都要进行判断，不直接使用。对于要生成到某个目录，某个文件名。

文件名最好方法是：自己写死目录（不要读取传入目录），文件名，最好自己随机生成，不读取用户文件名。文件扩展名，可以取最右边”.”后面字符。

以上2个方法，刚好从2个方面对上存做了整体约束。

方法2 ： 保存上存文件名，按照自己指定目录写入，并且文件名自己生成的。

方法1：只要保证文件写对了位置，然后从配置上，对写入目录进行权限控制，这个是治本。可以做到，你无论上存什么文件，都让你没有权限跳出去可以运行。

以上2个方法，一起使用，可以保证文件正确存到地方，然后，权限可以控制。 这里顺便说明下， 判断用户上存文件是否满足要求类型，就直接检查文件扩展名，只要满足扩展名就让上存。 反正，做了执行权限限制，你不按要求上存内容，也无妨。 反正，不能执行，也不会有多大危害性的。

• 正确步骤：

1.读取文件名，验证扩展名是不是在范围内

2.自己定义生成的文件名，目录，扩展名可以来自文件名扩展名。 其它值，都自己配置，不读取上存中内容

3.将文件 移到新目录(这个目录权限设置只读)

好了，以上是一般操作方法，希望对大家有帮助，也欢迎朋友们交流！也希望提供更好的方法！接下来，我会在web 开发中，常见一些方法功能安全设计方面继续写一些我的心得，看法！ 欢迎大家随时交流！

我当时就想，既然我知道我需要允许上存什么样的文件，那么，我就只允许你上存该文件。只要我文件类型判断准确了，你想上存能够执行的代码。我都给阻止掉，不就行了吗？ 这确实，是个好的方法，但是我们再做的时候，往往会出现下面一些问题。

这里我们看下常见实现的php代码。 这里，常见两个问题是：

1.读取文件type,直接做文件类型判断

2.通过工具分析文件格式，以此来确认文件类型

• 问题一：读取文件type，判断文件类型

if(isset($_FILES['img']))
{
    $file = save_file($_FILES['img']);
	if($file===false) exit('上存失败！');
	
	echo "上存成功！",$file;
}



function check_file($img)
{
	///读取文件
	if($img['error']>0) return false;
	
	$type = $img['type'];
	$filename = $img['name'];
	
	
	///读取文件扩展名
	$len=strrpos($filename,".");
	if($len===false) return false;
	
	//得到扩展名
	$ext = strtolower(substr($filename,$len+1));
	
	///判断文件类型
	if($type && preg_match('%^image/.+$%',$type)) return $ext;
	
	return false;
}

function save_file($img)
{
	$ext = check_file($img);
	if(!ext) return false;
	
	//格式检测ok，准备移动数据
	$filename = time().$ext;
	$newfile = "upload/" .$filename;
	if(!move_uploaded_file($img["tmp_name"],$newfile)) return false;
	
	return $newfile;

}

以上加蓝色代码，是关键，这个里面我们直接读取type类型，也就是文件内容。通过第一篇知识：web上存漏洞及原理分析、防范方法 我们知道，type来自浏览器端浏览器自动传入变量。 如果是浏览器，这个值一般没有问题。但是，如果是来自用户自己组织的包，他可以给type 设置个：image/jpeg值， 然后，给name 一个 index.php 值。

估计大家已经看到问题，这样一来，我们生成的文件$filename变成为：time().’php’了。 就创建一个php文件。

• 通过工具分析文件格式，以此来确认文件类型

我们已经清楚知道了,type值是可以随便构造的，这类检查用户类型方法。是没有任何作用，恶意用户，可以随便给一个php文件发送上来，传一个image类型。 那么，肯定有朋友会说，我直接用php程序，去分析用户传入的tmp_name 文件格式，这个总靠谱吧！ 我们看看下面代码。

function check_file($img)
{
	///读取文件
	if($img['error']>0) return false;
	
	$typelist = array(array("FFD8FFE1","jpg"),
	array("89504E47","png"),
	array("47494638","gif"),
	array("49492A00","tif"),
	array("424D","bmp"));
	
	$file = $img['tmp_name'];
	$filename = $img['name'];
	
	
	///读取文件扩展名
	$len=strrpos($filename,".");
	if($len===false) return false;
	
	//得到扩展名
	$ext = strtolower(substr($filename,$len+1));
	
	///判断文件类型
	//读取文件开头15字节，一般通过这些字节值，可以确定它的格式
	$file = @fopen($file,"rb");
	$bin = fread($file, 15);
	
	foreach ($typelist as $v)
	{
		$blen=strlen(pack("H*",$v[0])); //得到文件头标记字节数
		$tbin=substr($bin,0,intval($blen)); ///需要比较文件头长度
		 
		if(strtolower($v[0])==strtolower(array_shift(unpack("H*",$tbin)))) 
		{
			return $ext;
		}
	}
	
	return false;
}

该方法，直接分析用户传入文件格式，然后决定该文件类型，是否允许保存！这套，我们看来非常可靠方法，应该很准确，应该没有问题，不读取type,自己来分析格式。 其实：如果用户传入一个文件，前面4字节是：89504E47， 然后，后面加入一段<?php代码 。上存的文件名称是image.php 。这样一来，我们发现，这段代码保存为php文件了。 只是这个文件，前面一部分可能是图片格式，后面一部分，只纯粹的php 程序。 通过浏览器，去访问下这个，还真的可以运行呢。 很久以前，就有人做过image图片木马。可以去百度搜索：”将php木马隐藏在图片里” ，这样做出的文件，你用画图软件看是个图片，你如果用php运行这段代码，里面php能够执行了。

好了，我们总结下，看来通过type判断类型，以及通过文件格式检测类型。 都不能很好解决，准确判断用户上存文件格式了。 其实，我们反过来想想，文件格式，不是通过一个简单字节标识码就能够准确判断的。 如果真的要去检测文件类型，我们该用什么方法呢？如果真的要检测格式，例如是图片，可以用php gd库，直接去打开文件，然后再保存一次。 这样，里面不合法的代码会去掉的。但是，我们想想，这样该会花费多大的性能呢？

综上所述，其实，去判断文件内容格式，不是明智的方法。 会非常复杂，而且也容易出现问题。想准确判断，还会消耗大量的服务器资源。除非万不得已，我们不要去尝试做这种操作。 接下来，对于安全上存方法，我会说说思路，欢迎交流！

1、检测文件类型，并且用用户上存文件名保存

if(isset($_FILES['img']))
{
    $file = save_file($_FILES['img']);
	if($file===false) exit('上存失败！');
	
	echo "上存成功！",$file;
}

function check_file($img)
{
	///读取文件
	if($img['error']>0) return false;
	
	$tmpfile = $img['tmp_name'];
	$filename = $img['name'];
	
	
	///读取文件扩展名
	$len=strrpos($filename,".");
	if($len===false) return false;
	
	//得到扩展名
	$ext = strtolower(substr($filename,$len+1));
	if(!in_array($ext,array('jpg','jpeg','png'))) return false;
	return true;
}

function save_file($img)
{
	if(!check_file($img)) return false;
	
	//格式检测ok，准备移动数据
	$filename = $img['name'];
	$newfile = "upload/" .$filename;
	if(!move_uploaded_file($img["tmp_name"],$newfile)) return false;
	
	return $newfile;

}
?>

以上代码，对输入类型也做了判断，看了没有问题。但是问题，确恰恰出现在对获取的用户名变量检测上面。直接获取传入用户名，然后存为文件。 有朋友会说：这些文件名都是我电脑里面存在的，文件名格式都受限于操作系统对文件名定义。 但是，需要注意是，对于$_FILES里面获取变量，是直接来自http request请求。它跟普通获取其它get,post变量一样。 因此，别有用心的人，往往会自己模拟浏览器，给服务器发送一个特殊文件名。然后，让存文件时候，能够正常保存为自己格式。

前些年，”\0” 在字符串中，保存为文件，会自动截断后面内容。 如：$filename 构造为：”a.php\0.jpg” ，我们想想，将会变成怎么样？

$newfile = “upload/a.php\0.jpg” 因为，对扩展名验证，最右边”.”后面字符是jpg ，是允许图片格式。 但是，我们一以该文件名，保存。 发现磁盘会在upload目录下面生成a.php ，\0后面所有字符，被自动截断。

该漏洞，风靡一时。当时几乎大多数上存网站都有漏洞。一时，很多平台关闭了上存。其实，根本原因就在此。我们拿到文件名，自己作为最终生成文件名保存了。  好的方法，是自己随机生成文件名+读取扩展名 。这样可以组织输入特殊字符，在进行文件保存时候，被抛弃或截断了。

php4时代这个漏洞可以利用，到php5时代，生成的变量文件名值中，会自动过滤掉”\0” ，这样无论用户构造怎么样的特殊”\0”用户名，都会被截断。 但是 ，目前这类漏洞，在asp,jsp 等站点。还经常有出现。老版本的php站点也会经常出现。

好了，今天先到这里，后面还有2种其它常见方法，后面给出！欢迎交流！

• 网站上存过程分析

<?php
header("Content-type: text/html; charset=utf-8"); 
if($_FILES)
{
	echo '<pre>';
	var_dump($_FILES);
	echo '</pre>';
}
?>
<form action="" enctype="multipart/form-data" method="POST">
<input type="file" name="txt" size="50">
<input name="Submit" type="submit" value="提交" >
</form>

以上是个简单测试例子，我们看看

我们来分析下：

name来自 上存时候选择文件名称

type 是文件类型， 这个类型那里来的呢？呵呵，这里非常关键的。 很多时候，很多同人会认为，这个是服务器自动判断生成的。 如果是这样想，觉得也有可能。 php 封装了上存，它自带类库好像可以的。  但是，反过来想想，你随便选择个什么格式文件，都会有格式类型。这样一想，我们推断这个值，可能也来自用户输入的。 我们来抓包看看我们类型。

type值 也来自，用户输入值了。

size来自程序计算上存文件大小，这个是自动计算的。 相比我们都清楚的。

• 你说这么多有啥样呢？

想必有朋友开始问了，我上面分析上存文件格式 ，跟开发出现漏洞有什么关联呢。 其实，我们想想，上面说的，一个文件名称name属性，以及文件类型type属性。 在我们上存文件，后端处理时候，会经常用到的。 作为开发者，在使用这2个变量，一定要继续执行“一切输入代码是有害的”原则。你在使用时候，要把它当作，跟其它get,post 获取变量一样处理。 要检测，过滤一切输入变量。

我们经常做功能是，限定用户输入必须是某种格式文件，然后保存为该格式。分析到这里，下面有很多需要继续分析地方，今天先提出大纲。接下来会分析这样常见3类上存漏洞。

1. 使用用户文件名，生成文件，特殊字符过滤不严格，导致文件生成出现漏洞

2.移动文件目录时候，由于采用用户传入的文件名拼接，生成到错误目录

3.相信用户输入type 类型，直接将用户文件名保存为文件

好了，下一篇我会举例逐步分析这3种常见漏洞，欢迎朋友们提出你的观点，与我交流！

• 安全过滤后的getIP函数

  function getIP() {
	$realip = ''; //设置默认值
	if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
		$realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
	} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
		$realip = $_SERVER['HTTP_CLIENT_IP'];
	} else {
		$realip = $_SERVER['REMOTE_ADDR'];
	}

	preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/',$realip,$match);
	return $match?$match[0]:false;
}

以上函数，增加了IP判断，只会读取以Ip格式数据开头，并且第一个满足IP格式值。如果没有返回false。 这样就可以读取到满足格式的IP，验证了数据的IP格式。

• 如果我读取互联网的IP，用户传入局域网的IP，我应该直接过滤掉

我们在一些网站上面，经常可以看到提示，非法的IP地址，其实一部分是IP地址格式错误，一部分可能是读取到IP地址，不满足互联网上面允许IP格式。 以下这个函数，是通过IANA站点规范，封装了个函数。 通过输入IP地址，能够准确知道，该IP是不是可以在互联网应用。

//互联网允许使用IP地址

function ipType2($ip) {
	$iplist = explode(".", $ip);

	if ($iplist[0] >= 224 && $iplist[0] <= 239)
		return '多播';
	if ($iplist[0] >= 240 && $iplist[0] <= 255)
		return '保留';

	if (preg_match('/^198\.51\.100/', $ip))
		return 'TEST-NET-2，文档和示例';
	if (preg_match('/^203\.0\.113/', $ip))
		return 'TEST-NET-3，文档和示例';

	if (preg_match('/^192\.(18|19)\./', $ip))
		return '网络基准测试';

	if (preg_match('/^192\.168/', $ip))
		return '专用网络[内部网]';

	if (preg_match('/^192\.88\.99/', $ip))
		return 'ipv6to4中继';
	if (preg_match('/^192\.0\.2\./', $ip))
		return 'TEST-NET-1，文档和示例';
	if (preg_match('/^192\.0\.0\./', $ip))
		return '保留（IANA）';
	if (preg_match('/^192\.0\.0\./', $ip))
		return '保留（IANA）';

	if ($iplist[0] == 172 && $iplist[1] <= 31 && $iplist[1] >= 16)
		return '专用网络[内部网]';

	if ($iplist[0] == 169 && $iplist[1] == 254)
		return '链路本地';
	if ($iplist[0] == 127)
		return '环回地址';
	if ($iplist[0] == 10)
		return '专用网络[内部网]';
	if ($iplist[0] == 0)
		return '本网络（仅作为源地址时合法）';

	return 'InterNet网地址';
}

当你输入IP地址，它返回是“’InterNet网地址’ ，那么这个IP地址不光格式正确，而且是互联网上面合法的IP地址。 这个函数很复杂，其实就是排除很多非互联网使用IP地址。 我们常见的192,127,10开头地址估计都很熟悉了。 但实际上，很多IP地址是保留的，或者留作它用。 不能作为互联网 IP使用。 有了以上两个函数，我们不光可以读到正确格式IP地址，还能够保证读到是互联网上面IP地址。 以上是工作中常使用的函数，欢迎朋友们交流！

这个来自一些项目中，获取用户Ip，进行用户操作行为的记录，是常见并且经常使用的。 一般朋友，都会看到如下通用获取IP地址方法。

function getIP() { 
	if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
		$realip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
	} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) { 
		$realip = $_SERVER['HTTP_CLIENT_IP']; 
	} else { 
		$realip = $_SERVER['REMOTE_ADDR']; 
		} 
		return $realip; 
	}

这个是网上常见获取，ip函数，用这些值获取IP,我们首先要弄清楚，这些数据是从那个地方传过来的。

• IP获取来源

1.’REMOTE_ADDR’  是远端IP，默认来自tcp 连接是，客户端的Ip。可以说，它最准确，确定是，只会得到直接连服务器客户端IP。如果对方通过代理服务器上网，就发现。获取到的是代理服务器IP了。

如：a->b(proxy)->c  ,如果c 通过’REMOTE_ADDR’ ，只能获取到b的IP,获取不到a的IP了。

另外:该IP想篡改将很难实现，在传递知道生成php server值，都是直接生成的。

2.’HTTP_X_FORWARDED_FOR’，’HTTP_CLIENT_IP’ 为了能在大型网络中，获取到最原始用户IP，或者代理IP地址。对HTTp协议进行扩展。定义了实体头。

HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2  所有IP用”,”分割。 HTTP_CLIENT_IP 在高级匿名代理中，这个代表了代理服务器IP。既然是http协议扩展一个实体头，并且这个值对于传入端是信任的，信任传入方按照规则格式输入的。以下以x_forword_for例子加以说明，正常情况下，这个值变化过程。

• 分析Bug风险点：

通过刚刚分析我们发现，其实这些变量，来自http请求的：x-forword-for字段，以及client-ip字段。 正常代理服务器，当然会按rfc规范来传入这些值。但是，当一个用户直接构造该x-forword-for值，发送给用户用户，那将会怎么样呢？

图（1）

第2步，修改x-forword-fox值，我们看看结果

第三步，我们再修改下看看会怎么样？

哈哈，看到上面结果没，x-forwarded-for不光可以自己设置值，而且可以设置任意格式值。 这样一来，好比就直接有一个可以写入任意值的字段。并且服务器直接读取，或者写入数据库，或者做显示。它将带来危险性，跟一般对入输入没有做任何过滤检测，之间操作数据源结果一样。 并且容易带来隐蔽性。

• 结论：

上面getip函数，除了客户端可以任意伪造IP，并且可以传入任意格式IP。 这样结果会带来2大问题，其一，如果你设置某个页面，做IP限制。 对方可以容易修改IP不断请求该页面。 其二，这类数据你如果直接使用，将带来SQL注册，跨站攻击等漏洞。至于其一，可以在业务上面做限制，最好不采用IP限制。 对于其二，这类可以带来巨大网络风险。我们必须加以纠正。

需要对getip 进行修改，得到安全的getip函数。

这类问题，其实很容易出现，以前我就利用这个骗取了大量伪装投票。有它的隐蔽性，其实只要我们搞清楚了，某些值来龙去脉的话。理解了它的原理，修复该类bug将是非常容易。

题外话，做技术，有三步，先要会做，会解决；后要思考为什么要这么做，原因原理是什么；最后是怎么样做，有没有其它方法。多问问自己，你发现距离技术真理越来越近。你做事会越来越得心应手的！