在我们日常的编码过程中，输入校验可以说是我们业务安全的第一道防线，我们需要对每一次的用户输入做一定的校验，也就是我们常说的，不要信任任何用户的输入。

对于用户的输入，我们需要做到如下的校验：

• 白名单
• 黑名单
• 规范化
• 合法性校验
• 防范 SQL 注入文件校验
• 访问控制

白名单

场景： 当可能输入的集合比较小的，可以选择使用列表选择来确保不能绕过验证。

说明： 不可信数据可设定白名单校验的，应接受所有和白名单匹配的数据，并阻止其他数据。

function isValidateCommandRoutine($command) {
    $WhiteList = array('cmd','ls','sh','env');
    if (false === empty($command)) {  
        foreach ($WhiteList as $key=>$value) {
            if ($value === $command) {
                return true;
            }
        }
        return false;
    } else {
        return false;
    }
}
function validateCommandArray($cmds) {
    if (isValidateCommandRoutine($cmds)) {
        //Process valid input and return here.
        system(EscapeShellCmd($cmds));
    }
    return;
}
       

黑名单

场景：部分可控输入数据集合时，拒绝已知恶意的输入数据。

说明：不可信数据中包含不良输入字符时，如空字节（%00）、换行符（%0d，%0a，\r，\n）、路径字符（../，..\）等，建议直接阻止该数据，若需要接受该数据，则应做不同方式的净化处理。

function isValidateString($s) { 
    $keywords = "[<>]"; 
    if (preg_match("$keywords", $s)) { 
        return false; 
    } else { 
        return true; 
    } 
}
       

规范化

场景：部分可控输入数据集合时，拒绝已知恶意的输入数据。

说明：不可信数据的净化和校验前需进行规范化，如将目录遍历（../或..\）等相对路径转化成绝对路径，URL解码等。

function fileCheck() {
    $basepath = './site/img/';
    $realBase = realpath($basepath);
    $realUserPath = realpath($basepath . $_GET['path']);
    if ($realUserPath === false || strpos($realUserPath, $realBase) !== 0) {
        return false;
    } else {
        return true;
    }
}

合法性校验

场景：当合法值的范围太广泛时，不能明确确定时，根据业务场景进行类似正则匹配。

说明：不可信数据的合法性校验包括：数据类型如字符、数字、日期等特征；数据范围；数据长度等。

function isValidateString() { 
    $patternname = "^[A-Za-z0-9_-]{4,}$"; 
    if ($_POST['name'] && preg_match("$patternname", $_POST['name'])) { 
        return true; 
    } else { 
        return false; 
    } 
}

防范SQL注入

场景：当用户数据进入后端SQL操作时，使用参数化查询来处理避免出现SQL注入。

说明：不可信数据的合法性校验包括：数据类型如字符、数字、日期等特征；数据范围；数据长度等。

<?php
    $dbns = 'mysql:dbname=testdb;host=127.0.0.1';
    $username = 'dbuser';
    $password = 'dbpasswd'
    try {
        $pdo = new PDO($dbns, $username, $password);
        $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        $pdo->exec('set names utf8'); 
    } catch (PDOException $e) {
        echo 'Connection failed: ' . $e->getMessage();
        exit;
    }
    $str = $pdo->prepare('select * from content where id=? and name=?');
    $str->execute(array('id'));
    $str->execute(array('name'));
    print_r($str->fetchAll());
?>

文件校验

场景：用户提交压缩文件，服务器需要进行解压缩存储时。

说明：不可信数据为解压缩的文件时，如果文件位于服务目录外或文件大小超过限制，应拒绝处理。

class Unzip{
    public function __construct() {
       header("content-type:text/html;charset=utf8");
    }
 
    public function unzip($src_file, $dest_dir) {
        $zip = zip_open($src_file)
        if ($zip) {
            $this->create_dirs($dest_dir);
            while ($zip_entry = zip_read($zip)) {
                if (zip_entry_filesize($zip_entry) > 0x640000) {
                    return false;
                }
                $pos_last_slash = strrpos(zip_entry_name($zip_entry), "/");
                if ($pos_last_slash !== false) {
                    $this->create_dirs($dest_dir.substr(zip_entry_name($zip_entry), 0, $pos_last_slash+1));
                }
                if (zip_entry_open($zip, $zip_entry, "r")) {
                    $file_name = $dest_dir.zip_entry_name($zip_entry);              
                    if (!is_file($file_name)) {
                        $fstream = zip_entry_read($zip_entry, zip_entry_filesize($zip_entry));
                        @file_put_contents($file_name, $fstream);
                        chmod($file_name, 0666);
                    }
                    zip_entry_close($zip_entry);
                }
            }
            zip_close($zip);
            return true;
        } else {
            return false;
        }
    }
 
    public function create_dirs($path) {
        if (!is_dir($path)) {
            $directory_path = "";
            $directories = explode("/", $path);
            array_pop($directories);
            foreach($directories as $directory) {
                $directory_path .= $directory . "/";
                if (!is_dir($directory_path)) {
                    mkdir($directory_path);
                    chmod($directory_path, 0755);
                }
            }
        }
    }
}

访问控制

场景：用户提交的数据，在处理前需要进行身份确认。

说明：不可信数据通过上述校验后，还应确认所提交的内容是否与用户的身份匹配，避免越权访问。

<?php
namespace App\Http\Controllers;
use App\User;
use App\Http\Controllers\Controller;

class UserController extends Controller
{
    public function __construct() {
        $this->middleware('auth');
    }

    public function show($id) {
        return view('user.profile', ['user' => User::findOrFail($id)]);
    }
}
?>

你好，我是一笑（Maksim），接下来我们要来聊一聊如何在业务中如何开发出“安全”的代码。

首先来讲一讲为什么会写关于安全的文章，最近真的是被安全团队搞的晕头转向，在老代码中存在大量的安全问题，不断的修修补补，起初感觉有些烦躁，感觉有些接口没有必要这么严格，直到我被“安利”了一款应用，由于涉敏就不在文章中详细说明了。

我来简单说一下那个应用的功能，通过输入手机号或者邮箱，可以将个人信息完整的查询出来，很恐怖，网络之上的确没有秘密，当我自己的信息被查出来之后，我是真的慌了，其中包括了我的身份证号、曾经的住址，用过的邮箱，甚至我怀疑，我开过几次房都能查到。

那这些信息都是怎么被泄露出去的呢？

让我们来看看曾经的新闻：

• 2013年的时候，腾讯爆出被黑客盗取了大量的用户资料，其中包括7000多万个QQ群，12亿多个部分重复的QQ号码。
• 2015年10月19日下午消息，乌云今日宣布发现新漏洞，此漏洞将导致 网易 163/126邮箱过亿数据泄漏，泄露信息包括用户名、密码、密码保护信息、登录IP以及用户生日等多个原始信息，影响数量总共近5亿条！
• 酒店数据库被“黑” 3.27亿人次信息泄露

这些都是我们熟知的互联网公司或者产品，与此同时网上的开源产品，ecshop，discuzz, dedecms 曾经都存在大量的漏洞，如果站长不具备安全意识，没有及时的修复漏洞，那么我们的信息将会更容易被获取。

同时这样的问题还会影响品牌的声誉，会给品牌带来不可估量的损失，我很认同何为舟老师在极客时间《安全攻防技能 30 讲》中的一句话：我们在追求开发效率的同时，一定要把“安全”这俩字放在心上。

就在2021 年，北京组织各大公司进行攻防演练，APP 等系统必须进行等保测试，这都意味着未来国家对信息安全将会越来越重视，而变成安全将是每一位程序员的必修课。

在公司内部，基本上所有上规模的公司都会有自己的安全审计部门，而我这段时间也正在被审计部门折磨着，历史遗留的系统有大量的系统，在扫描到我们事业部的时候，让我真的是苦不堪言，一天最多能给出八九个工单。

下面，我通过自己的亲身经历，以及对我司安全规范、《安全攻防技能 30 讲》，《PHP 安全之道》进行整理，剥丝抽茧，将各种安全手段和需要注意的地方，进行逐一讲解，下面是大纲：

接下里，说一下这个系列文章的整体结构其中涉及如下：

• 输入验证
• 输出编码
• 身份验证
• 短信验证码
• 图灵验证码
• 密码管理
• 回话安全
• 访问控制
• 注入攻击
• 敏感信息
• CSRF 攻击
• 文件上传安全
• 接口安全
• I/O 操作
• 运行环境
• 异常处理
• 日志规范

做到上面这些，代码就已经算是相对安全了，但是只要代码是在不断产出，就会出现新的漏洞，我也会通过自己的学习和实践，不断去补充这个系列的文章。

参考资料

[1] 何为舟 《安全攻防技能 30 讲》安全攻防技能30讲_安全_漏洞_黑客-极客时间 (geekbang.org)

[2] 王昊天 Web安全攻防实战 https://time.geekbang.org/course/intro/100055001

[3] 栾涛 《PHP 安全之道》人民邮电出版社