Точно приключих с един експорт/импорт скрипт (export XLS - XML via PHP from MySQL Database / import Excel Spreadsheet as XLS - XML to MySQL DB) и съм почти доволен.. даже и работи Остава и клиентите да го оценят. Ама като се замисли човек, ако имаме база данни с няколкостотин или хиляди продукта и се наложи да обновим ценовата листа, например, сещате ли се колко време ще е нужно за да се свърши това през админ панела, продукт по продукт, за всеки по няколко различни цени. Тегаво, a? Жестока досада! А така, експортваш шаблона (настоящата ценова листа), редактираш в Excel, каквото там е нужно, записваш като XML Spreadsheet, оп, качваш през админ панела файла и след няколко секунди цялата работа е свършена! Мммм, благинка. Та сега след като помогнахме на някой си някъде там да има повече време да се задява с колежките, да се позанимаем и ние с малко глупости. It’s showtime Оп, microtime(), обърках се

Да ви преставя концепцията на състезанието:

Имаме две кучки бегачки, и двете са резачки (split). Задачата им ще е да отрежат главата на мистър Файл един милион пъти и да я върнат. Борим се за всяка милипунта, щот не можем да си позволим излишен разход на ценни милисекунди

Първият състезател:

function getExtByArrayMethod ($file, $allowableExtensions) {
$split = array_reverse(explode('.', $file));
if (in_array(strtolower($split[0]), $allowableExtensions)) {
return $ext = $split[0];
}
}

Той се състезава така: първо му го нацепва на мистър Файл по всяка негова чувствителна точка с explode(’.', $file), после го обръща у лево с array_reverse (виждате ли какви неща има в PHP-то!!!). След това взема първото отсечено след обръщането, смалява го (strtolower) и проверява дали пасва на това, което търси (масив $allowableExtensions с разрешени файлови съкращения). Ако пасне го изплюва сдъвкано - и така един милион пъти

Другата кучка:

function getExtByStringMethod ($file, $allowableExtensions) {
$ext = strtolower(substr($file, strrpos($file, '.') + 1));
if (in_array($ext, $allowableExtensions)) {
return $ext;
}
}

Туй говедо не ползва масиви, а третира мистър Файл като простоват низ (string). Първо нанюхва важната последна точка в низа чрез strrpos, и с 1 идея напред, с един удар реже остатъка. Смалява го, проверява дали пасва и ако да, го изплюва - и така един милион пъти.

Ето го семплото циклене:

for ($i = 1; $i < = ITR; $i++) {
getExtByArrayMethod(FILENAME, $allowableExtensions);
}

Тук имаме константи и един масив, които ще ползваме за състезанието:

$allowableExtensions = array('avi', 'mpg', 'mp4',
'mov', 'wmv', 'flv', 'mpeg', 'gp3',
'vob', 'rm', 'txt', 'psd', 'exe');

define('FILENAME', 'video4560289703.public.gp3';);
define('ITR', 1000000);

Ползваме microtime() заедно с една полезна функцийка от php.net за превръщане на резултата в нещо лесно разбираемо и.. Старт!

Begin getExtByArrayMethod: 1219751738.47
End getExtByArrayMethod: 1219751748.79
Result: 10.3256812096

Begin getExtByStringMethod: 1219751748.79
End getExtByStringMethod: 1219751755.35
Result: 6.55777096748

Както виждате при един милион итерации моята кучка бие тази на колегата с близо 4 секунди или цели 4000 милипунти, представяте ли си?! Колегата явно хич не го е*е за разхищаване на ценно процесорно време

Извън кръга на майтапа и чуденката, работа с масиви или със стрингове за конкретното приложение.. нещо сериозно: никога не проверявайте при upload формуляр само за MIME Type на качваните файлове. Това е лесно заобиколимо препятствие и освен, ако не сте фенове да ви го хакват изотзаде, проверявайте винаги комбинирано и за MIME Type, и за разширението на файла, и за големината, и т.н., и т.н. Ама пак мое ви го хакнат, спасение няма

—

Ето го тестовият файл, можете да пробвате..

За съжаление, но и без да буди кой знае какво учудване, на български език за PHP Security има издадена само една книга: Essential PHP Security, Chris Shiflett, 2006. Българското издание е на издателска къща ЗеСТ Прес от 2007, ISBN-13: 978-954-9341-20-1. Ако случайно все още не притежавате тези 120 страници в книжен формат, препоръчвам ви ги. Книгата, макар и хубава, е прекалено малка и надали ще задоволи очакванията ви.. по-скоро е като вкусен залъгващ залък преди основното ястие.

Мисля, че сте попадали на поне една от тези три книги. Ако ли пък не, ето сега имате тази възможност:

Pro PHP Security, Chris Snyder & Michael Southwell, 2005

ISBN (pbk): 1-59059-508-4
Тези над 500 страници четиво определено си заслужават. Ето го съдържанието в кратък вариант:

PART 1 - The Importance of Security
CHAPTER 1 Why Is Secure Programming a Concern?
PART 2 - Maintaining a Secure Environment
CHAPTER 2 Dealing with Shared Hosts
CHAPTER 3 Maintaining Separate Development and Production Environments
CHAPTER 4 Keeping Software Up to Date
CHAPTER 5 Using Encryption I: Theory
CHAPTER 6 Using Encryption II: Practice
CHAPTER 7 Securing Network Connections I: SSL
CHAPTER 8 Securing Network Connections II: SSH
CHAPTER 9 Controlling Access I: Authentication
CHAPTER 10 Controlling Access II: Permissions and Restrictions
PART 3 - Practicing Secure PHP Programming
CHAPTER 11 Validating User Input
CHAPTER 12 Preventing SQL Injection
CHAPTER 13 Preventing Cross-Site Scripting
CHAPTER 14 Preventing Remote Execution
CHAPTER 15 Enforcing Security for Temporary Files
CHAPTER 16 Preventing Session Hijacking
PART 4 - Practicing Secure Operations
CHAPTER 17 Allowing Only Human Users
CHAPTER 18 Verifying Your Users’ Identities
CHAPTER 19 Using Roles to Authorize Actions
CHAPTER 20 Adding Accountability to Track Your Users
CHAPTER 21 Preventing Data Loss
CHAPTER 22 Safely Executing System Commands
CHAPTER 23 Handling Remote Procedure Calls Safely
CHAPTER 24 Taking Advantage of Peer Review

Общо взето си има за всичко по-малко, обяснено с различни примери.

Една друга, заслущаваща внимание книга е Guide to PHP Security - A Step-by-step Guide to Writing Secure and Reliable PHP Applications, Ilia Alshanetsky, 2005

ISBN 0-9738621-0-6
И тази книга не е от вчера, което обаче не пречи написаното да е все още актуално. Покрива PHP5, както и предишната. И без това - както предполагам знаете - от 8 август е спряна поддръжката за PHP4, а и на хоризонта вече се задава PHP6. От съдържанието:

1 Input Validation
2 Cross-Site Scripting Prevention
3 SQL Injection
4 Preventing Code Injection
5 Command Injection
6 Session Security
7 Securing File Access
8 Security through Obscurity
9 Sandboxes and Tar Pits
10 Securing Your Applications

И още една благинка, която съм засякал: Hacker Web Exploitation Uncovered, Marsel Nizamutdinov, 2005

400 pages, ISBN:1931769494
Тази още не съм я прегледал, но като гледам съдържанието мисля, че и тя покрива основни теми като XSS, SQL Injection, Remote File Inclusion, etc.

И още нещо за десерт. Ако имате в приложението си формуляр за upload на файлове, прочетете този документ (.pdf, 20 стр.). Сигурен съм, че ще ви е полезен, както беше и за мен (Secure File Upload In PHP Web Applications)

Ами приятно четене и повечко спокойни нощи (след n на брой не толкова преди това).. Честно казано, колкото повече чета, толкова повече си мисля дали не е добре да се върнем 15 години назад към абсолютно статичен web модел

1. Няма абсолютна и универсална защита, всичко подлежи на хакване!
2. Най-добре си го хаквай {скрипта} често, често сам и се.. оправяй.. сам, преди да те оправят други!
3. Грам никакво доверие на потребителя, т.е на каквото и да е идващо от GET, POST, COOKIE, SESSION, REQUEST (ако някой все още го ползва), HTTP Headers, etc.
4. 13 проверки са по-добре от една или николко, но все пак не се знае дали са достатъчни..
5. Ученето трябва да продължи!

Във връзка с една тема от миналата седмица в BGDev, ето един метод за почистване на GET заявки от излишни боклуци.

В заявката са допустими само параметри, дефинирани в масива $allowableParams и са забранени символите, посочени в другия conf масив: $forbiddenSymbols.

Разбира се, подобна реализация има своите ограничения (modRewrite, кирилица, search формуляри, събмитващи през GET и т.н.), така че в зависимост от приложението може да се променя съдържанието на масивите и изобщо цялата реализация на метода. Също така, при установяване на непозволени параметри или забранени символи (опити за XSS или SQL injection), освен логването на опита и редиректването към страница с “чиста” GET заявка, може да се добави и друга някаква функционалност: мейл до администратор, бан на потребител и т.н.

Така, ето как изглежда началото на една страница, която ще използва този клас:

< ?php
define('CLASSES_PATH', ".");

$forbiddenSymbols	= array('<', '>', '(', ')',
	'..', '%', '*', '+', '!', '@');
$allowableParams	= array('p', 'id');

if (isset($_SERVER['QUERY_STRING']) &&
	!еmрty($_SERVER['QUERY_STRING'])) {

	require_once(CLASSES_PATH . "/class.clean.php");
	$clean = new MrGETClean;

	$queryString = $clean->queryWalk($_SERVER['QUERY_STRING'],
		$forbiddenSymbols,
		$allowableParams,
		$_SERVER['SCRIPT_NAME']);

	if ($queryString != $_SERVER['QUERY_STRING']) {
		$newURL = basename($_SERVER['SCRIPT_NAME']) .
			'?' . $queryString;
		header("location: " . $newURL);
	}

}

Ето го и самия клас с основния метод queryWalk:

< ?php
define('LOG_PATH', "log");

class MrGETClean {

function queryWalk($queryString,
	$forbiddenSymbols,
	$allowableParams,
	$scriptURL) {

	$flag = false;

	$queryFragments			= array();
	$queryArr				= array();
	$cleanedQueryFragments	= array();

	$queryFragments = explode("&", $queryString);

	foreach ($queryFragments as $key => $value) {
		$queryArr[$key]['p'] =
			substr($value, 0, strpos($value, '='));
		$queryArr[$key]['v'] =
			substr($value, strpos($value, '=') + 1);
	}

	foreach ($queryArr as $key => $value) {
		if (!in_array($queryArr[$key]['p'],
				$allowableParams)) {
			$queryArr[$key] = null;
			$flag = true;
		}

		foreach ($forbiddenSymbols as $symbol) {
			if (stristr($queryArr[$key]['v'],
					$symbol)) {
				$queryArr[$key] = null;
				$flag = true;
			}
		}
	}		

	foreach ($queryArr as $key => $value) {
		if ($queryArr[$key]['p'] != null) {
			$cleanedQueryFragments[$key] =
				$queryArr[$key]['p'] . "=" .
				$queryArr[$key]['v'];
		}
	}

	if ($flag) {
		$this->MrGETCleanMakeLog($queryString,
			$scriptURL);
	}

	$queryString = implode("&", $cleanedQueryFragments);

	return $queryString;

}

А това са методът, който генерира лог файла и този, който връща IP адреса на “атакуващия”:

function MrGETCleanMakeLog($queryString, $scriptURL) {

	$date = date ("d-m-Y @ H:i:s");
	$log = LOG_PATH . "/log.txt";
	$handle = fopen($log,"a+" );
	fputs ($handle, 'Attack Date: ' . $date .
	' | Attacker IP: ' . $this->getIP() .
	' | Query: ' . htmlentities(urldecode($queryString)) .
	' | Script: ' . $scriptURL . "\r\n");
	fclose($handle);

}

function getIP() {

	$IP = '';

	if (isset($_SERVER)) {
		if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
			$IP = $_SERVER['HTTP_X_FORWARDED_FOR'];
		}
		elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
			$IP = $_SERVER['HTTP_CLIENT_IP'];
		}
		else {
			$IP = $_SERVER['REMOTE_ADDR'];
		}
	}
	else {
		if (getenv('HTTP_X_FORWARDED_FOR'))	{
			$IP = getenv('HTTP_X_FORWARDED_FOR');
		}
		elseif (getenv('HTTP_CLIENT_IP')) {
			$IP = getenv( 'HTTP_CLIENT_IP' );
		}
		else {
			$IP = getenv('REMOTE_ADDR');
		}
	}

	return $IP;

}

Файловете, които са ви нужни са примерният index.php и класът class.clean.php. Демото можете да пробвате тук: www.vlkomarov.info/projects/mr-get-clean (Log: log.txt).

Променяйте съобразно вашите нужди и спецификата на приложението.

Линкването на това демо не е задължително, но ще съм ви благодарен, ако го правите