|
== Tietoturvavinkkejä ==
Tämä kappale käsittelee PHP:n [[tietoturva]]a, ja etenkin sitä, kuinka pystyt tekemään tietoturvallisempaa koodia.
==== Asetukset ====
PHP:n asetuksia säädetään ''php.ini'' -tiedostosta. Tämä määrittelee monia perustason asetuksia, joista osa saattaa olla haitallisia tietoturvan kannalta. Kannattaa kiinnittää huomiota ainakin seuraaviin riveihin:
* ''register_globals''
** Yksi PHP:n vaarallisimmista asetuksista päällä pidettäväksi. Kun ''register globals'' on kytkettynä, voidaan globaaleista taulukoista (kuten $_POST) käyttää muuttujia suoralla nimellä (esimerkiksi lomakkeelta tuleva $_POST['nimi'] löytyy valmiiksi muuttujasta $nimi). Tämä yhdistettynä heikosti tarkastettuun syötteeseen ja tietokantaan antaa mahdollisuuden käyttää tietokantaa vastaan [[haavoittuvuus (tietotekniikka)|haavoittuvuutta]] pelkän osoiterivin avulla (esimerkiksi vanhemmassa PHP:ssä toiminut ''http:://www.foo.bar/index.php?nimi=%27%20%27;%20DROP%20DATABASE%20db'' eli kyselystä tuleekin "SELECT * FROM taulu WHERE nimi = ' '; DROP DATABASE db").
* ''error_reporting''
** Määrittelee virheilmoitusten näyttötason (oletuksena näytetään kaikki paitsi ''E_NOTICE''-luokan virheilmoitukset). Virheilmoitukset kertovat kehittäjälle mikä meni väärin ja missä. Myös huomautukset ovat hyödyllisiä ilmoituksia ehkäisten esimerkiksi ohjelmointivirheiden syntymistä kun muuttujaa, jota ei ole olemassa, käsitellään. Tämän asetuksena kannattaisi olla ''E_ALL'', ja näkyvyyttä kehitysympäristön ja käyttäjille näytettävän ympäristön välillä tulisikin säätää ''error_reporting''-asetuksen avulla.
* ''safe_mode''
** ''Safe mode'' -tila estää palvelimen kannalta kriittisten funktioiden (kuten ''exec'') ajamisen tietyin rajoittein, sekä rajoittaa PHP:n oikeutta käyttää vain omia tiedostoja ja hakemistoja. Monesti tätä ei pidetä päällä (johtuen mm. lähestulkoon mahdottomuudesta luoda hakemistoja), mutta tämän päällä pitääminen lisää tietoturvaa huomattavasti.
* ''magic_quotes_gpc''
** Määrittelee asetetaanko käyttäjiltä tuleviin syötteisiin (GET, POST, COOKIE) automaattisesti karkausmerkit. Tämä on syytä pitää päällä, mutta ohjelmoija ei saisi kuitenkaan liikaa nojautua tämän tuomaan turvallisuuteen. Esimerkiksi MySQL-tietokantaa käytettäessä tämä lisäisi vain lainausmerkkien eteen karkausmerkit, mutta jättäisi huomioimatta MySQL-tietokannan kannalta monia muita kriittisiä merkkejä.
* ''short_open_tag''
** Määrittelee, ovatko lyhyet aloitustagit ("<?") sallittuja. Ei sinänsä liity tietoturvaan, mutta erittäin tärkeä asetus, jos PHP-tiedostoissa aiotaan käyttää XML-pohjaista merkkausta.
==== Koodi ====
* ''Tarkista käyttäjältä tuleva syöte''
** Kun vastaanotat käyttäjältä syötteitä, muista tarkistaa sen sisältö (kokonaisluvut ovat kokonaislukuja, ettei teksti sisällä virheellisiä merkkejä ja niin edelleen) ennemmin kuin käyttäisit syötteitä suoraan. Hyödyllisiä funktioita syötteiden tarkistamiseen ovat esimerkiksi ''is_int, is_float'' sekä tekstisyötteiden varmistamiseen ''addslashes'' ja ''{tietokanta}_real_escape_string'' (tai ''{tietokanta}_escape_string'' mikäli real escape string ei löydy käyttämäsi tietokannan funktioista).
* ''Tarkista muuttujan olemassaolo''
** Ennen muuttujan käyttämistä esimerkiksi ehtolauseessa kannattaa miettiä muuttujan olemassaolon tarkastamista. Tähän hyödyllisiä funktioita ovat ''isset'' ja tyhjän muuttujan hylkäämiseksi ''empty''.
* ''Löyhä vertailu vs. tiukka vertailu''
** Kannattaa miettiä tilanteen mukaan kumpaa käyttää. Jotkut PHP:n funktioista saattavat palauttaa ''FALSE'' tai onnistuneena tuloksena löyhän vertailun ''FALSE''n (esimerkiksi nolla tai tyhjä merkkijono). Käyttämällä tiukkaa vertailua === vertaillaan sekä sisältö että tyyppi.
* ''Näytä virheet vain itsellesi''
** Kun kehität palvelua, pidä virheilmoitukset päällä tasolla ''E_ALL''. Kun teet virheetöntä koodia tällä asetuksella, olet askelta lähempänä tietoturvaa. Käyttäjille suunnatussa palvelussa virheilmoitukset kannattaa pitää myös päällä, mutta piilottaa ne näkyvistä ''error_reporting''-asetuksen avulla. Tämä onnistuu esimerkiksi lisäämällä koodin alkuun ''ini_set("error_reporting", 0);''.
* ''Käytä eval() -funktiota harkiten.''
** Eval on yksi PHP:n mielenkiintoisimpia mutta samalla myös vaarallisimpia funktioita. Eval-funktio '''ei koskaan''' saisi ottaa parametrejaan POST tai GET-muuttujissa annettavista arvoista tai arvoista, johin kuka tahansa käyttäjä pystyy vaikuttamaan. Eval-funktiolla pystytään suorittamaan teoriassa melkein mitä tahansa toimenpiteitä kohdekäyttöjärjestelmässä, joten sen kautta voidaan suorittaa todella vakavia hyökkäyksiä.
* ''Tarkasta huolella system, exec ja shell_exec -komentojen parametrit tai vältä niiden käyttämistä kokonaan''.
** Tähän pätee samat ohjeet kuin eval() -funktioon. Mikäli suoritat shell-komentoja, niiden parametrit eivät koskaan saisi tulla suoraan käyttäjän syöttämistä arvoista, koska ne voivat sisältää piilotettuja shell-komentoja. Muuttujat, jotka ennetaan shell-komentosarjoihin parametreina tulisi käsitellä ''escapeshellcmd()'' ja ''escapeshellarg()'' -funktioilla (johon ei niihinkään pitäisi sokeasti luottaa).
*''Älä luota $HTTP_POST_FILES tai $_FILES -muuttujiin vaan käytä funktioita move_uploaded_file ja is_uploaded_file''
**Näillä voit varmistaa, että siirrettäväksi pyydettävä tiedosto on todellakin kotoisin sen lähettäneeltä käyttäjältä. Pahimmillaan pahansuopainen käyttäjä voi yrittää lähettää virheellisiä tiedostonimiä, esim. /etc/passwd ja näin yrittää huijata järjestelmää siirtämään tärkeitä tietoja sisältäviä tiedostoja hänen itsensä nähtäväksi.
== Taulukot ==
| 