PHP/Tietoturvavinkkejä
Ulkoasu
< PHP
Tämä kappale käsittelee PHP:n tietoturvaa, ja etenkin sitä, kuinka pystyt tekemään tietoturvallisempaa koodia.
Asetukset
PHP:n asetuksia säädetään php.ini -tiedostosta. Tämä määrittelee monia perustason asetuksia, joista osa saattaa olla haitallisia tietoturvan kannalta. Kannattaa kiinnittää huomiota ainakin seuraaviin riveihin:
- register_globals
- Yksi PHP:n vaarallisimmista asetuksista päällä pidettäväksi. Kun register globals on kytkettynä, voidaan globaaleista taulukoista (kuten $_POST) käyttää muuttujia suoralla nimellä (esimerkiksi lomakkeelta tuleva $_POST['nimi'] löytyy valmiiksi muuttujasta $nimi). Tämä yhdistettynä heikosti tarkastettuun syötteeseen ja tietokantaan antaa mahdollisuuden käyttää tietokantaa vastaan haavoittuvuutta pelkän osoiterivin avulla (esimerkiksi vanhemmassa PHP:ssä toiminut http:://www.foo.bar/index.php?nimi=%27%20%27;%20DROP%20DATABASE%20db eli kyselystä tuleekin "SELECT * FROM taulu WHERE nimi = ' '; DROP DATABASE db").
- error_reporting
- Määrittelee virheilmoitusten näyttötason (oletuksena näytetään kaikki paitsi E_NOTICE-luokan virheilmoitukset). Virheilmoitukset kertovat kehittäjälle mikä meni väärin ja missä. Myös huomautukset ovat hyödyllisiä ilmoituksia ehkäisten esimerkiksi ohjelmointivirheiden syntymistä kun muuttujaa, jota ei ole olemassa, käsitellään. Tämän asetuksena kannattaisi olla E_ALL, ja näkyvyyttä kehitysympäristön ja käyttäjille näytettävän ympäristön välillä tulisikin säätää error_reporting-asetuksen avulla.
- safe_mode
- Safe mode -tila estää palvelimen kannalta kriittisten funktioiden (kuten exec) ajamisen tietyin rajoittein, sekä rajoittaa PHP:n oikeutta käyttää vain omia tiedostoja ja hakemistoja. Monesti tätä ei pidetä päällä (johtuen mm. lähestulkoon mahdottomuudesta luoda hakemistoja), mutta tämän päällä pitääminen lisää tietoturvaa huomattavasti.
- magic_quotes_gpc
- Määrittelee asetetaanko käyttäjiltä tuleviin syötteisiin (GET, POST, COOKIE) automaattisesti karkausmerkit. Tämä on syytä pitää päällä, mutta ohjelmoija ei saisi kuitenkaan liikaa nojautua tämän tuomaan turvallisuuteen. Esimerkiksi MySQL-tietokantaa käytettäessä tämä lisäisi vain lainausmerkkien eteen karkausmerkit, mutta jättäisi huomioimatta MySQL-tietokannan kannalta monia muita kriittisiä merkkejä.
- short_open_tag
- Määrittelee, ovatko lyhyet aloitustagit ("<?") sallittuja. Ei sinänsä liity tietoturvaan, mutta erittäin tärkeä asetus, jos PHP-tiedostoissa aiotaan käyttää XML-pohjaista merkkausta.
Koodi
- Tarkista käyttäjältä tuleva syöte
- Kun vastaanotat käyttäjältä syötteitä, muista tarkistaa sen sisältö (kokonaisluvut ovat kokonaislukuja, ettei teksti sisällä virheellisiä merkkejä ja niin edelleen) ennemmin kuin käyttäisit syötteitä suoraan. Hyödyllisiä funktioita syötteiden tarkistamiseen ovat esimerkiksi is_int, is_float sekä tekstisyötteiden varmistamiseen addslashes ja {tietokanta}_real_escape_string (tai {tietokanta}_escape_string mikäli real escape string ei löydy käyttämäsi tietokannan funktioista).
- Tarkista muuttujan olemassaolo
- Ennen muuttujan käyttämistä esimerkiksi ehtolauseessa kannattaa miettiä muuttujan olemassaolon tarkastamista. Tähän hyödyllisiä funktioita ovat isset ja tyhjän muuttujan hylkäämiseksi empty.
- Löyhä vertailu vs. tiukka vertailu
- Kannattaa miettiä tilanteen mukaan kumpaa käyttää. Jotkut PHP:n funktioista saattavat palauttaa FALSE tai onnistuneena tuloksena löyhän vertailun FALSEn (esimerkiksi nolla tai tyhjä merkkijono). Käyttämällä tiukkaa vertailua === vertaillaan sekä sisältö että tyyppi.
- Näytä virheet vain itsellesi
- Kun kehität palvelua, pidä virheilmoitukset päällä tasolla E_ALL. Kun teet virheetöntä koodia tällä asetuksella, olet askelta lähempänä tietoturvaa. Käyttäjille suunnatussa palvelussa virheilmoitukset kannattaa pitää myös päällä, mutta piilottaa ne näkyvistä error_reporting-asetuksen avulla. Tämä onnistuu esimerkiksi lisäämällä koodin alkuun ini_set("error_reporting", 0);.
- Käytä eval() -funktiota harkiten.
- Eval on yksi PHP:n mielenkiintoisimpia mutta samalla myös vaarallisimpia funktioita. Eval-funktio ei koskaan saisi ottaa parametrejaan POST tai GET-muuttujissa annettavista arvoista tai arvoista, johin kuka tahansa käyttäjä pystyy vaikuttamaan. Eval-funktiolla pystytään suorittamaan teoriassa melkein mitä tahansa toimenpiteitä kohdekäyttöjärjestelmässä, joten sen kautta voidaan suorittaa todella vakavia hyökkäyksiä.
- Tarkasta huolella system, exec ja shell_exec -komentojen parametrit tai vältä niiden käyttämistä kokonaan.
- Tähän pätee samat ohjeet kuin eval() -funktioon. Mikäli suoritat shell-komentoja, niiden parametrit eivät koskaan saisi tulla suoraan käyttäjän syöttämistä arvoista, koska ne voivat sisältää piilotettuja shell-komentoja. Muuttujat, jotka ennetaan shell-komentosarjoihin parametreina tulisi käsitellä escapeshellcmd() ja escapeshellarg() -funktioilla (johon ei niihinkään pitäisi sokeasti luottaa).
- Älä luota $HTTP_POST_FILES tai $_FILES -muuttujiin vaan käytä funktioita move_uploaded_file ja is_uploaded_file
- Näillä voit varmistaa, että siirrettäväksi pyydettävä tiedosto on todellakin kotoisin sen lähettäneeltä käyttäjältä. Pahimmillaan pahansuopainen käyttäjä voi yrittää lähettää virheellisiä tiedostonimiä, esim. /etc/passwd ja näin yrittää huijata järjestelmää siirtämään tärkeitä tietoja sisältäviä tiedostoja hänen itsensä nähtäväksi.