來源:ChinaASP
之所以翻譯這篇文章，是因?yàn)槟壳瓣P(guān)于CGI安全性的文章都是拿Perl作為例子，而專門介紹ASP，php或者JSP安全性的文章則很少。Shaun Clowes的這篇文章比較全面地介紹了php的安全問題，原文可以在http://www.securereality.com.au/stu...arlet.txt找到。

由于原文比較長，而且有相當(dāng)一部分是介紹文章的背景或php的基礎(chǔ)知識，沒有涉及到php安全方面的內(nèi)容，因此我沒有翻譯。如果你想了解這方面的知識，請參考原文。

文章主要從全局變量，遠(yuǎn)程文件，文件上載，庫文件，Session文件，數(shù)據(jù)類型和容易出錯(cuò)的函數(shù)這幾個(gè)方面分析了php的安全性，并且對如何增強(qiáng)php的安全性提出了一些有用的建議。

好了，廢話少說，我們言歸正傳！

[全局變量]
php中的變量不需要事先聲明，它們會在第一次使用時(shí)自動創(chuàng)建，它們的類型也不需要指定，它們會根據(jù)上下文環(huán)境自動確定。從程序員的角度來看，這無疑是一種極其方便的處理方法。很顯然，這也是快速開發(fā)語言的一個(gè)很有用的特點(diǎn)。一旦一個(gè)變量被創(chuàng)建了，就可以在程序中的任何地方使用。這個(gè)特點(diǎn)導(dǎo)致的結(jié)果就是程序員很少初始化變量，畢竟，當(dāng)它們第一次創(chuàng)建時(shí)，他們是空的。

很顯然，基于php的應(yīng)用程序的主函數(shù)一般都是接受用戶的輸入（主要是表單變量，上載文件和Cookie等），然后對輸入數(shù)據(jù)進(jìn)行處理，然后把結(jié)果返回到客戶端瀏覽器。為了使php代碼訪問用戶的輸入盡可能容易，實(shí)際上php是把這些輸入數(shù)據(jù)看作全局變量來處理的。

例如：

<FORM METHOD="GET" ACTION="test.php">
<INPUT TYPE="TEXT" NAME="hello">
<INPUT TYPE="SUBMIT">
</FORM>

很顯然，這會顯示一個(gè)文本框和提交按鈕。當(dāng)用戶點(diǎn)擊提交按鈕時(shí)，“test.php”會處理用戶的輸入，當(dāng)“test.php”運(yùn)行時(shí)，“$hello”會包含用戶在文本框輸入的數(shù)據(jù)。從這里我們應(yīng)該看出，攻擊者可以按照自己的意愿創(chuàng)建任意的全局變量。如果攻擊者不是通過表單輸入來調(diào)用“test.php”，而是直接在瀏覽器地址欄輸入http://server/test.php?hello=hi&set...