PHP代码审计3-SQL注入,CSRF,动态函数执行与匿名函数执行,unserialize 反序列化漏洞,变量覆盖,文件管理,文件上传

SQL注入

审计语句　　【输入参数】

SELECT，DELETE，UPDATE，INSERT

防御

转义：

1、开启gpc：判断解析用户提示的数据

2、mysql_real_escape_string():转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集

string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] )

3、addslashs():使用反斜线引用字符串

string addslashes ( string $str )

4、关键字过滤

CSRF

审计：敏感表单是否使用token验证（还有token是否随机）

防御

1、验证HTTP Referer字段（可能存在绕过，最好使用下面两种方法）

2、在请求地址中添加token并验证

3、在HTTP头中自定义属性并验证

动态函数与匿名函数

动态：函数与函数之间的调用，可能会产生漏洞

静态：允许临时创建一个没有指定名称的函数。最经常用作回调函数（callback）参数的值。【create_function:创建匿名函数】

unserialize反序列漏洞

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。

unserialize函数被用于将格式化字符串内的对象进行实例化，在反序列化期间,每个解析元素都有一个索引号,号码从1开始。

mixed unserialize ( string $str )

1、unserialize()中的参数可控

2、脚本中存在一个构造函数、析构函数、__wakeup()函数中有类

3、对象中的成员变量的值

反序列化的变量会覆盖类中变量的值

变量覆盖漏洞

原因：

1、是 register_globals 为 on 的情况，PHP4 默认开启，PHP5 以后默认关闭

2、人为注册了全局变量

全局变量的取值与赋值

文件管理漏洞

PHP 的用于文件管理的函数，如果输入变量可由用户提交，程序中也没有做数据验证，可能成为高危漏洞

常用函数

copy()：拷贝文件

bool copy ( string $source , string $dest [, resource $context ] )

将文件从 source 拷贝到 dest。

如果要移动文件的话，请使用 rename() 函数。

rmdir()：删除目录

bool rmdir ( string $dirname [, resource $context ] )

尝试删除 dirname 所指定的目录。 该目录必须是空的，而且要有相应的权限。

unlink()：删除文件

bool unlink ( string $filename [, resource $context ] )

删除 filename。和 Unix C 的 unlink() 函数相似

delete()：删除文件，类似unlink()与rmdir()

void delete ( void )

fwrite()：写入文件（可安全用于二进制文件）

int fwrite ( resource $handle , string $string [, int $length ] )

fwrite() 把 string 的内容写入 文件指针 handle 处。

chmod()：改变文件模式

bool chmod ( string $filename , int $mode )

尝试将 filename 所指定文件的模式改成 mode 所给定的。

fgetc()：从文件指针中读取字符

string fgetc ( resource $handle )

从文件句柄中获取一个字符。

fgetcsv()：从文件指针中读入一行并解析 CSV 字段

array fgetcsv ( resource $handle [, int $length = 0 [, string $delimiter = ',' [, string $enclosure = '"' [, string $escape = '\\' ]]]] )

从文件指针中读取一行，fgetcsv() 解析读入的行并找出 CSV 格式的字段然后返回一个包含这些字段的数组。

fgets()：从文件指针中读取一行

string fgets ( resource $handle [, int $length ] )

fgetss()：从文件指针中读取一行并过滤掉 HTML和PHP标记

string fgetss ( resource $handle [, int $length [, string $allowable_tags ]] )

file()：把整个文件读入一个数组中

array file ( string $filename [, int $flags = 0 [, resource $context ]] )

file_get_contents()：将整个文件读入一个字符串

string file_get_contents ( string $filename [, bool $use_include_path = false [, resource $context [, int $offset = -1 [, int $maxlen ]]]] )

将在参数 offset 所指定的位置开始读取长度为 maxlen 的内容

fread()：读取文件（可安全用于二进制文件）

string fread ( resource $handle , int $length )

fread() 从文件指针 handle 读取最多 length 个字节

readfile()：输出一个文件

int readfile ( string $filename [, bool $use_include_path = false [, resource $context ]] )

读入一个文件并写入到输出缓冲。

ftruncate()：将文件截断到给定的长度

bool ftruncate ( resource $handle , int $size )

接受文件指针 handle 作为参数，并将文件大小截取为 size。

file_put_contents()：将一个字符串写入文件

int file_put_contents ( string $filename , mixed $data [, int $flags = 0 [, resource $context ]] )

fputcsv()：将行格式化为 CSV 并写入文件指针

int fputcsv ( resource $handle , array $fields [, string $delimiter = ',' [, string $enclosure = '"' ]] )

fputs()：fwrite() 的别名

fopen()：打开文件或者 URL

resource fopen ( string $filename , string $mode [, bool $use_include_path = false [, resource $context ]] )

文件上传漏洞

审计函数：move_uploaded_file()：将上传的文件移动到新位置

bool move_uploaded_file ( string $filename , string $destination )

相关的超全局变量$_FILES

防御

1、使用白名单方式检测文件后缀

2、上传之后按时间能算法生成文件名称

3、上传目录脚本文件不可执行

4、注意%00截断

5、Content-Type 验证