Yii框架开发安全考虑

来源：互联网发布：淘宝买家秀是什么意思编辑：程序博客网时间：2024/05/14 16:22

这篇文章是作为补充Yii框架开发安全考虑，因为Yii教程里几经含有了开发过程中需要考虑的安全教程。但是基于那个教程里没有提到所有常见的web攻击，所以在这里补充两个最常见的web攻击: SQL注入式和Magic URL.

SQL注入式

SQL注入式是一种最常见并且最容易实现的一个web应用的攻击，这个攻击已经在最近的几年内上升为第一个web开发的安全问题。这种攻击发生于当你(开发者)获取用户的输入值，并直接把它作为纯Sql语句对数据库进行查询而造成的。这种攻击可以篡改，删除数据，甚至可以公开一个商业的用户资料。

举一个简单例子,假设你有这样的一个SQL语句:

[php] view plaincopy
"Select * from User where username=".$username;  

其中$username是你从用户端获取的值。如果用户是个有经验的开发者，他很容易就可以猜到你的sql语句大概是什么样。那么他可以提供这样的值，比如: ” ‘john’ or 1=1″, 如果你直接把这个值放入到sql语句中，那么语句就变成了:

[php] view plaincopy
"Select * from User where username='john' or 1=1";  

可以看到，你如果懂的一些Sql，这个语句将会在你数据库表格获取所有的用户数据，那么这些数据就有被公开的危险性，这是个简单的例子，但是很好了说明了这个攻击是怎么发生的。

那么什么防范措施可以起到保护数据作用呢?这里给几个建议:1. 检查，过滤任何从用户端接收到的数据，不用相信任何用户的数据。2. 避免直接在控制层写 Sql语句，如果你一定要，请实行第一步操作。3. 尽量把sql语句写在模型层，并尽量使用内嵌的API如 find(),findAll()等待。4. 使用Criteria 来创建数据查询代码，这种方式创建的sql语句将会自动消除注入式sql语句，起到防范作用。

Magic URL

另一个攻击你需要注意的是Magic URL.这个攻击发生于，在开发者把Url的参数作为调用其他函数的参数并直接执行它。

特别注意的是Yii框架的架构已经具有被攻击的潜在可能。如果没有合适的用户验证措施和其他对策，攻击者可能能够删除你在数据库中的所有数据。

让我们看看一个具体的例，假设你有一个ImageController其中包含常用的方法：

[php] view plaincopy
Class ImageController extends Controller{  
    public function accessRules(){  
         ...  
         array('allow', 'actions'=>array('delete'),'users'=>array('*'),  
         ...  
    }  
    public function actionCreate(){  
         ....  
    }  
    ...  
    public function actionDelete($id){  
         $this->loadModel($id)->delete();  
    }  
}  

你可以从上面的代码看到，这种控制类允许身份验证的用户来执行删除操作。因此，一个情景可以是用户点击一个图片下的“删除”按钮，然后将图像记录从数据库表中删除。但是，就这么简单吗？如果您有一些关于HTTP URL的知识，那么你知道这个删除操作的URL可能是:

[php] view plaincopy
http://yourdomain.com/image/delete?id=3  

或其他相似的。现在也许变得清晰，如果你的数据库设计只是简单的增加了数字来改变图片记录的ID，那么可能会发生攻击是通过简单地改变URL中的ID值来删除由另一个用户拥有的图片记录，因此这是一个不安全的代码设计。

防范措施:

通过检查用户的角色授权操作，考虑使用基于角色的访问控制（RBAC）。
避免使用GET方法，如果一个HttP请求的结果在服务器端有改变模型状态的作用，请使用POST并通过这个： Yii::app()->request->isPostRequest 来检查一个请求是否是AJAX.
检查，过滤任何从用户端接收到的数据，不用相信任何用户的数据。
提高访问规则的门槛，给用户留下最少特权。

转载自http://www.yiiwiki.com/wiki/view/id/15/title/Yii%E6%A1%86%E6%9E%B6%E5%BC%80%E5%8F%91%E5%AE%89%E5%85%A8%E8%80%83%E8%99%91

0 0