本文目錄一覽:
- 1、PHP可以做什麼
- 2、php安全過濾代碼
- 3、如何防止PHP進程異常退出
PHP可以做什麼
PHP可以做什麼
PHP屬於後起之秀,吸收了java和c以及perl等語言優點,專註互聯網領域。WEB領域PHP擁有得天獨厚的優勢,WEB領域沒有語言可以和他比。將來一定是互聯網的天下。互聯網離不開WEB,WEB離不開PHP。那麼PHP可以做什麼?一起來看看PHP的用途吧!
PC端網站開發
60%全球互聯網網站採用php技術,80%國內互聯網網站使用php開發。這些網站包含購物網站,政府企業網站,QQ空間,論壇博客等等。
移動端微網站開發
移動設備的普及為移動互聯網的快速發展奠定了基礎!手機淘寶網站,手機京東網站等等, 微信公眾號應用中的微網站。 將來微網站和公眾號肯定會取代APP的地位!
APP後台開發
APP後台開發也是移動互聯網發展的一個產物。大多數網站為了讓用戶在手機上能夠得到更好體驗效果,都加入開發APP的開發行列中。而PHP後端技術將會作為他們的不二選擇。
PHP主要用來做網站開發,許多小型網站都用PHP開發,PHP是開源的,這是使得PHP經久不衰的原因。在電商、社區等方面,PHP具備非常成熟的開源代碼和模板,因此使得PHP應用極為廣泛。
php-fpm的安裝目錄
下面是我的平時的環境搭建php的各種安裝目錄,大家的基本也差不多。
centos等linux平台
1./usr/local/php/php
2./usr/local/php/etc/php.ini
3./usr/local/php/sbin/php-fpm
4./usr/local/php/etc/php-fpm.conf
mac平台
1./usr/bin/php
2./etc/php.ini
3./usr/bin/php-fpm
4./etc/php-fpm.conf
由於我開發以Mac為主,所以就用Mac的環境配置來學習。
php-fpm配置詳解
這是搜索的一份還算算比較詳細的php-fpm.conf配置詳解,我會針對性的修改下,當然php手冊上也有詳細的講解:
1.pid = /usr/local/var/run/php-fpm.pid
2.#pid設置,一定要開啟,上面是Mac平台的。默認在php安裝目錄中的var/run/php-fpm.pid。比如centos的在: /usr/local/php/var/run/php-fpm.pid
3.
4.error_log = /usr/local/var/log/php-fpm.log
5.#錯誤日誌,上面是Mac平台的,默認在php安裝目錄中的var/log/php-fpm.log,比如centos的在: /usr/local/php/var/log/php-fpm.log
6.
7.log_level = notice
8.#錯誤級別. 上面的php-fpm.log紀錄的登記。可用級別為: alert(必須立即處理), error(錯誤情況), warning(警告情況), notice(一般重要信息), debug(調試信息). 默認: notice.
9.
10.emergency_restart_threshold = 60
11.emergency_restart_interval = 60s
12.#表示在emergency_restart_interval所設值內出現SIGSEGV或者SIGBUS錯誤的php-cgi進程數如果超過 emergency_restart_threshold個,php-fpm就會優雅重啟。這兩個選項一般保持默認值。0 表示 ‘關閉該功能’. 默認值: 0 (關閉).
13.
14.process_control_timeout = 0
15.#設置子進程接受主進程復用信號的超時時間. 可用單位: s(秒), m(分), h(小時), 或者 d(天) 默認單位: s(秒). 默認值: 0.
16.
17.daemonize = yes
18.#後台執行fpm,默認值為yes,如果為了調試可以改為no。在FPM中,可以使用不同的設置來運行多個進程池。 這些設置可以針對每個進程池單獨設置。
19.
20.listen = 127.0.0.1:9000
21.#fpm監聽埠,即nginx中php處理的地址,一般默認值即可。可用格式為: ‘ip:port’, ‘port’, ‘/path/to/unix/socket’. 每個進程池都需要設置。如果nginx和php在不同的機器上,分散式處理,就設置ip這裡就可以了。
22.
23.listen.backlog = -1
24.#backlog數,設置 listen 的半連接隊列長度,-1表示無限制,由操作系統決定,此行注釋掉就行。backlog含義參考:
25.
26.listen.allowed_clients = 127.0.0.1
27.#允許訪問FastCGI進程的IP白名單,設置any為不限制IP,如果要設置其他主機的nginx也能訪問這台FPM進程,listen處要設置成本地可被訪問的IP。默認值是any。每個地址是用逗號分隔. 如果沒有設置或者為空,則允許任何伺服器請求連接。
28.
29.listen.owner = www
30.listen.group = www
31.listen.mode = 0666
32.#unix socket設置選項,如果使用tcp方式訪問,這裡注釋即可。
33.
34.user = www
35.group = www
36.#啟動進程的用戶和用戶組,FPM 進程運行的Unix用戶, 必須要設置。用戶組,如果沒有設置,則默認用戶的組被使用。
37.
38.pm = dynamic
39.#php-fpm進程啟動模式,pm可以設置為static和dynamic和ondemand
40.#如果選擇static,則進程數就數固定的,由pm.max_children指定固定的子進程數。
41.
42.#如果選擇dynamic,則進程數是動態變化的,由以下參數決定:
43.pm.max_children = 50 #子進程最大數
44.pm.start_servers = 2 #啟動時的進程數,默認值為: min_spare_servers + (max_spare_servers – min_spare_servers) / 2
45.pm.min_spare_servers = 1 #保證空閑進程數最小值,如果空閑進程小於此值,則創建新的子進程
46.pm.max_spare_servers = 3 #,保證空閑進程數最大值,如果空閑進程大於此值,此進行清理
47.
48.pm.max_requests = 500
49.#設置每個子進程重生之前服務的請求數. 對於可能存在內存泄漏的第三方模塊來說是非常有用的. 如果設置為 ‘0’ 則一直接受請求. 等同於 PHP_FCGI_MAX_REQUESTS 環境變數. 默認值: 0.
50.
51.pm.status_path = /status
52.#FPM狀態頁面的網址. 如果沒有設置, 則無法訪問狀態頁面. 默認值: none. munin監控會使用到
53.
54.ping.path = /ping
55.#FPM監控頁面的ping網址. 如果沒有設置, 則無法訪問ping頁面. 該頁面用於外部檢測FPM是否存活並且可以響應請求. 請注意必須以斜線開頭 (/)。
56.
57.ping.response = pong
58.#用於定義ping請求的返回相應. 返回為 HTTP 200 的 text/plain 格式文本. 默認值: pong.
59.
60.access.log = log/$pool.access.log
61.#每一個請求的訪問日誌,默認是關閉的。
62.
63.access.format = “%R – %u %t \”%m %r%Q%q\” %s %f %{mili}d %{kilo}M %C%%”
64.#設定訪問日誌的格式。
65.
66.slowlog = log/$pool.log.slow
67.#慢請求的`記錄日誌,配合request_slowlog_timeout使用,默認關閉
68.
69.request_slowlog_timeout = 10s
70.#當一個請求該設置的超時時間後,就會將對應的PHP調用堆棧信息完整寫入到慢日誌中. 設置為 ‘0’ 表示 ‘Off’
71.
72.request_terminate_timeout = 0
73.#設置單個請求的超時中止時間. 該選項可能會對php.ini設置中的’max_execution_time’因為某些特殊原因沒有中止運行的腳本有用. 設置為 ‘0’ 表示 ‘Off’.當經常出現502錯誤時可以嘗試更改此選項。
74.
75.rlimit_files = 1024
76.#設置文件打開描述符的rlimit限制. 默認值: 系統定義值默認可打開句柄是1024,可使用 ulimit -n查看,ulimit -n 2048修改。
77.
78.rlimit_core = 0
79.#設置核心rlimit最大限制值. 可用值: ‘unlimited’ 、0或者正整數. 默認值: 系統定義值.
80.
81.chroot =
82.#啟動時的Chroot目錄. 所定義的目錄需要是絕對路徑. 如果沒有設置, 則chroot不被使用.
83.
84.chdir =
85.#設置啟動目錄,啟動時會自動Chdir到該目錄. 所定義的目錄需要是絕對路徑. 默認值: 當前目錄,或者/目錄(chroot時)
86.
87.catch_workers_output = yes
88.#重定向運行過程中的stdout和stderr到主要的錯誤日誌文件中. 如果沒有設置, stdout 和 stderr 將會根據FastCGI的規則被重定向到 /dev/null . 默認值: 空.
當然還有一些無關緊要的設置,用到了再說吧。
一些重要的設置
php-fpm進程分配
在之前的文章中就說過了。在fasgcgi模式下,php會啟動多個php-fpm進程,來接收nginx發來的請求,那是不是進程越多,速度就越快呢?這可不一定!得根據我們的機器配置和業務量來決定。
我們先來看下,設定進程的配置在哪裡?
pm = static | dynamic | ondemand
pm可以設置成這樣3種,我們用的最多的就上前面2種。
pm = static 模式
pm = static 表示我們創建的php-fpm子進程數量是固定的,那麼就只有pm.max_children = 50這個參數生效。你啟動php-fpm的時候就會一起全部啟動51(1個主+50個子)個進程,頗為壯觀。
pm = dynamic 模式
pm = dynamic模式,表示啟動進程是動態分配的,隨著請求量動態變化的。他由 pm.max_children,pm.start_servers,pm.min_spare_servers,pm.max_spare_servers 這幾個參數共同決定。
上面已經講過,這裡再重申一下吧:
pm.max_children = 50 是最大可創建的子進程的數量。必須設置。這裡表示最多只能50個子進程。
pm.start_servers = 20 隨著php-fpm一起啟動時創建的子進程數目。默認值:min_spare_servers + (max_spare_servers – min_spare_servers) / 2。這裡表示,一起啟動會有20個子進程。
pm.min_spare_servers = 10
設置伺服器空閑時最小php-fpm進程數量。必須設置。如果空閑的時候,會檢查如果少於10個,就會啟動幾個來補上。
pm.max_spare_servers = 30
設置伺服器空閑時最大php-fpm進程數量。必須設置。如果空閑時,會檢查進程數,多於30個了,就會關閉幾個,達到30個的狀態。
到底選擇static還數dynamic?
很多人恐懼症來襲,不知道選什麼好?
一般原則是:動態適合小內存機器,靈活分配進程,省內存。靜態適用於大內存機器,動態創建回收進程對伺服器資源也是一種消耗。
如果你的內存很大,有8-20G,按照一個php-fpm進程20M算,100個就2G內存了,那就可以開啟static模式。如果你的內存很小,比如才256M,那就要小心設置了,因為你的機器裡面的其他的進程也算需要佔用內存的,所以設置成dynamic是最好的,比如:pm.max_chindren = 8, 佔用內存160M左右,而且可以隨時變化,對於一半訪問量的網站足夠了。
慢日誌查詢
我們有時候會經常飽受500,502問題困擾。當nginx收到如上錯誤碼時,可以確定後端php-fpm解析php出了某種問題,比如,執行錯誤,執行超時。
這個時候,我們是可以開啟慢日誌功能的。
slowlog = /usr/local/var/log/php-fpm.log.slow
request_slowlog_timeout = 15s
當一個請求該設置的超時時間15秒後,就會將對應的PHP調用堆棧信息完整寫入到慢日誌中。
php-fpm慢日誌會記錄下進程號,腳本名稱,具體哪個文件哪行代碼的哪個函數執行時間過長:
1.[21-Nov-2013 14:30:38] [pool www] pid 11877
2.script_filename = /usr/local/lnmp/nginx/html/
3.[0xb70fb88c] file_get_contents() /usr/local/lnmp/nginx/html/
通過日誌,我們就可以知道第2行的file_get_contents 函數有點問題,這樣我們就能追蹤問題了。
;
php安全過濾代碼
php安全篇值過濾用戶輸入的人蔘數
規則 1:絕不要信任外部數據或輸入
關於Web應用程序安全性,必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數據。在採取措施確保安全之前,來自任何其他來源(比如 GET 變數、表單 POST、資料庫、配置文件、會話變數或 cookie)的任何數據都是不可信任的。
例如,下面的數據元素可以被認為是安全的,因為它們是在PHP中設置的。
複製代碼 代碼如下:
?php
$myUsername = ‘tmyer’;
$arrayUsers = array(‘tmyer’, ‘tom’, ‘tommy’);define(」GREETING」, ‘hello there’ . $myUsername);?
但是,下面的數據元素都是有瑕疵的。
清單 2. 不安全、有瑕疵的代碼
複製代碼 代碼如下:
?php
$myUsername = $_POST[‘username’]; //tainted!
$arrayUsers = array($myUsername, ‘tom’, ‘tommy’); //tainted!
define(」GREETING」, ‘hello there’ . $myUsername); //tainted!
?
為 什麼第一個變數 $myUsername 是有瑕疵的?因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字元串,包括用來清除文件或運行以前上傳的文件的惡意命令。您可能會問,「難道不能使用只接受字母 A-Z 的客戶端(Javascrīpt)表單檢驗腳本來避免這種危險嗎?」是的,這總是一個有好處的步驟,但是正如在後面會看到的,任何人都可以將任何錶單下載 到自己的機器上,修改它,然後重新提交他們需要的任何內容。
解決方案很簡單:必須對 $_POST[‘username’] 運行清理代碼。如果不這麼做,那麼在使用 $myUsername 的任何其他時候(比如在數組或常量中),就可能污染這些對象。
對用戶輸入進行清理的一個簡單方法是,使用正則表達式來處理它。在這個示例中,只希望接受字母。將字元串限制為特定數量的字元,或者要求所有字母都是小寫的,這可能也是個好主意。
清單 3. 使用戶輸入變得安全
複製代碼 代碼如下:
?php
$myUsername = cleanInput($_POST[‘username’]); //clean!
$arrayUsers = array($myUsername, ‘tom’, ‘tommy’); //clean!
define(」GREETING」, ‘hello there’ . $myUsername); //clean!
function cleanInput($input){
$clean = strtolower($input);
$clean = preg_replace(」/[^a-z]/」, 「」, $clean);$clean = substr($clean,0,12);
return $clean;
}
?
規則 2:禁用那些使安全性難以實施的 PHP 設置已經知道了不能信任用戶輸入,還應該知道不應該信任機器上配置 PHP 的方式。例如,要確保禁用 register_globals。如果啟用了 register_globals,就可能做一些粗心的事情,比如使用 $variable 替換同名的 GET 或 POST 字元串。通過禁用這個設置,PHP 強迫您在正確的名稱空間中引用正確的變數。要使用來自表單 POST 的變數,應該引用 $_POST[‘variable’]。這樣就不會將這個特定變數誤會成 cookie、會話或 GET 變數。
規則 3:如果不能理解它,就不能保護它
一些開發人員使用奇怪的語法,或者將語句組織得很緊湊,形成簡短但是含義模糊的代碼。這種方式可能效率高,但是如果您不理解代碼正在做什麼,那麼就無法決定如何保護它。
例如,您喜歡下面兩段代碼中的哪一段?
清單 4. 使代碼容易得到保護
複製代碼 代碼如下:
?php
//obfuscated code
$input = (isset($_POST[‘username’]) ? $_POST[‘username’]:」);//unobfuscated code
$input = 」;
if (isset($_POST[‘username’])){
$input = $_POST[‘username’];
}else{
$input = 」;
}
?
在第二個比較清晰的代碼段中,很容易看出 $input 是有瑕疵的,需要進行清理,然後才能安全地處理。
規則 4:「縱深防禦」 是新的法寶
本教程將用示例來說明如何保護在線表單,同時在處理表單的 PHP 代碼中採用必要的措施。同樣,即使使用 PHP regex 來確保 GET 變數完全是數字的,仍然可以採取措施確保 SQL 查詢使用轉義的用戶輸入。
縱深防禦不只是一種好思想,它可以確保您不會陷入嚴重的麻煩。
既然已經討論了基本規則,現在就來研究第一種威脅:SQL 注入攻擊。
防止 SQL 注入攻擊
在 SQL 注入攻擊 中,用戶通過操縱表單或 GET 查詢字元串,將信息添加到資料庫查詢中。例如,假設有一個簡單的登錄資料庫。這個資料庫中的每個記錄都有一個用戶名欄位和一個密碼欄位。構建一個登錄表單,讓用戶能夠登錄。
清單 5. 簡單的登錄表單
複製代碼 代碼如下:
html
head
titleLogin/title
/head
body
form action=」verify.php」 method=」post」
plabel for=’user’Username/label
input type=’text’ name=’user’ id=’user’/
/p
plabel for=’pw’Password/label
input type=’password’ name=’pw’ id=’pw’/
/p
pinput type=’submit’ value=’login’//p
/form
/body
/html
這個表單接受用戶輸入的用戶名和密碼,並將用戶輸入提交給名為 verify.php 的文件。在這個文件中,PHP 處理來自登錄表單的數據,如下所示:
清單 6. 不安全的 PHP 表單處理代碼
複製代碼 代碼如下:
?php
$okay = 0;
$username = $_POST[‘user’];
$pw = $_POST[‘pw’];
$sql = 「select count(*) as ctr from users where username=’」.$username.」’ and password=’」. $pw.」’ limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){
//they’re okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION[‘loginokay’] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?
這 段代碼看起來沒問題,對嗎?世界各地成百(甚至成千)的 PHP/MySQL 站點都在使用這樣的代碼。它錯在哪裡?好,記住 「不能信任用戶輸入」。這裡沒有對來自用戶的任何信息進行轉義,因此使應用程序容易受到攻擊。具體來說,可能會出現任何類型的 SQL 注入攻擊。
例如,如果用戶輸入 foo 作為用戶名,輸入 ‘ or ‘1′=’1 作為密碼,那麼實際上會將以下字元串傳遞給 PHP,然後將查詢傳遞給 MySQL:
複製代碼 代碼如下:
?php
$sql = 「select count(*) as ctr from users where username=’foo’ and password=」 or ‘1′=’1′ limit 1″;?
這個查詢總是返回計數值 1,因此 PHP 會允許進行訪問。通過在密碼字元串的末章節附註入某些惡意 SQL,黑客就能裝扮成合法的用戶。
解 決這個問題的辦法是,將 PHP 的內置 mysql_real_escape_string() 函數用作任何用戶輸入的包裝器。這個函數對字元串中的字元進行轉義,使字元串不可能傳遞撇號等特殊字元並讓 MySQL 根據特殊字元進行操作。清單 7 展示了帶轉義處理的代碼。
清單 7. 安全的 PHP 表單處理代碼
複製代碼 代碼如下:
?php
$okay = 0;
$username = $_POST[‘user’];
$pw = $_POST[‘pw’];
$sql = 「select count(*) as ctr from users where username=’」.mysql_real_escape_string($username).」’ and password=’」. mysql_real_escape_string($pw).」’ limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){
//they’re okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION[‘loginokay’] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?
使用 mysql_real_escape_string() 作為用戶輸入的包裝器,就可以避免用戶輸入中的任何惡意 SQL 注入。如果用戶嘗試通過 SQL 注入傳遞畸形的密碼,那麼會將以下查詢傳遞給資料庫:
select count(*) as ctr from users where username=’foo’ and password=’\’ or \’1\’=\’1′ limit 1″資料庫中沒有任何東西與這樣的密碼匹配。僅僅採用一個簡單的步驟,就堵住了 Web 應用程序中的一個大漏洞。這裡得出的經驗是,總是應該對 SQL 查詢的用戶輸入進行轉義。
但是,還有幾個安全漏洞需要堵住。下一項是操縱 GET 變數。
防止用戶操縱 GET 變數
在前一節中,防止了用戶使用畸形的密碼進行登錄。如果您很聰明,應該應用您學到的方法,確保對 SQL 語句的所有用戶輸入進行轉義。
但 是,用戶現在已經安全地登錄了。用戶擁有有效的密碼,並不意味著他將按照規則行事 —— 他有很多機會能夠造成損害。例如,應用程序可能允許用戶查看特殊的內容。所有鏈接指向 template.php?pid=33 或 template.php?pid=321 這樣的位置。URL 中問號後面的部分稱為查詢字元串。因為查詢字元串直接放在 URL 中,所以也稱為 GET 查詢字元串。
在 PHP 中,如果禁用了 register_globals,那麼可以用 $_GET[‘pid’] 訪問這個字元串。在 template.php 頁面中,可能會執行與清單 8 相似的操作。
清單 8. 示例 template.php
複製代碼 代碼如下:
?php
$pid = $_GET[‘pid’];
//we create an object of a fictional class Page$obj = new Page;
$content = $obj-fetchPage($pid);
//and now we have a bunch of PHP that displays the page?
這 里有什麼錯嗎?首先,這裡隱含地相信來自瀏覽器的 GET 變數 pid 是安全的。這會怎麼樣呢?大多數用戶沒那麼聰明,無法構造出語義攻擊。但是,如果他們注意到瀏覽器的 URL 位置域中的 pid=33,就可能開始搗亂。如果他們輸入另一個數字,那麼可能沒問題;但是如果輸入別的東西,比如輸入 SQL 命令或某個文件的名稱(比如 /etc/passwd),或者搞別的惡作劇,比如輸入長達 3,000 個字元的數值,那麼會發生什麼呢?
在這種情況下,要記住基本規則,不要信任用戶輸入。應用程序開發人員知道 template.php 接受的個人標識符(PID)應該是數字,所以可以使用 PHP 的 is_numeric()函數確保不接受非數字的 PID,如下所示:
清單 9. 使用 is_numeric() 來限制 GET 變數複製代碼 代碼如下:
?php
$pid = $_GET[‘pid’];
if (is_numeric($pid)){
//we create an object of a fictional class Page$obj = new Page;
$content = $obj-fetchPage($pid);
//and now we have a bunch of PHP that displays the page}else{
//didn’t pass the is_numeric() test, do something else!
}
?
這個方法似乎是有效的,但是以下這些輸入都能夠輕鬆地通過 is_numeric() 的檢查:
100 (有效)
100.1 (不應該有小數位)
+0123.45e6 (科學計數法 —— 不好)
0xff33669f (十六進位 —— 危險!危險!)那麼,有安全意識的 PHP 開發人員應該怎麼做呢?多年的經驗表明,最好的做法是使用正則表達式來確保整個 GET 變數由數字組成,如下所示:
清單 10. 使用正則表達式限制 GET 變數
複製代碼 代碼如下:
?php
$pid = $_GET[‘pid’];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid)){
//do something appropriate, like maybe logging them out or sending them back to home page}
}else{
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;
$content = $obj-fetchPage($pid);
//and now we have a bunch of PHP that displays the page?
需 要做的只是使用 strlen() 檢查變數的長度是否非零;如果是,就使用一個全數字正則表達式來確保數據元素是有效的。如果 PID 包含字母、斜線、點號或任何與十六進位相似的內容,那麼這個常式捕獲它並將頁面從用戶活動中屏蔽。如果看一下 Page 類幕後的情況,就會看到有安全意識的 PHP 開發人員已經對用戶輸入 $pid 進行了轉義,從而保護了 fetchPage() 方法,如下所示:
清單 11. 對 fetchPage() 方法進行轉義
複製代碼 代碼如下:
?php
class Page{
function fetchPage($pid){
$sql = 「select pid,title,desc,kw,content,status from page where pid=’」.mysql_real_escape_string($pid).」’」;}
}
?
您可能會問,「既然已經確保 PID 是數字,那麼為什麼還要進行轉義?」 因為不知道在多少不同的上下文和情況中會使用 fetchPage() 方法。必須在調用這個方法的所有地方進行保護,而方法中的轉義體現了縱深防禦的意義。
如 果用戶嘗試輸入非常長的數值,比如長達 1000 個字元,試圖發起緩衝區溢出攻擊,那麼會發生什麼呢?下一節更詳細地討論這個問題,但是目前可以添加另一個檢查,確保輸入的 PID 具有正確的長度。您知道資料庫的 pid 欄位的最大長度是 5 位,所以可以添加下面的檢查。
清單 12. 使用正則表達式和長度檢查來限制 GET 變數複製代碼 代碼如下:
?php
$pid = $_GET[‘pid’];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid) strlen($pid) 5){//do something appropriate, like maybe logging them out or sending them back to home page}
} else {
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;
$content = $obj-fetchPage($pid);
//and now we have a bunch of PHP that displays the page?
現在,任何人都無法在資料庫應用程序中塞進一個 5,000 位的數值 —— 至少在涉及 GET 字元串的地方不會有這種情況。想像一下黑客在試圖突破您的應用程序而遭到挫折時咬牙切齒的樣子吧!而且因為關閉了錯誤報告,黑客更難進行偵察。
緩衝區溢出攻擊
緩衝區溢出攻擊 試圖使 PHP 應用程序中(或者更精確地說,在 Apache 或底層操作系統中)的內存分配緩衝區發生溢出。請記住,您可能是使用 PHP 這樣的高級語言來編寫 Web 應用程序,但是最終還是要調用 C(在 Apache 的情況下)。與大多數低級語言一樣,C 對於內存分配有嚴格的規則。
緩衝區溢出攻擊向緩衝區發送大量數據,使部分數據溢出到相鄰的內存緩衝區,從而破壞緩衝區或者重寫邏輯。這樣就能夠造成拒絕服務、破壞數據或者在遠程伺服器上執行惡意代碼。
防止緩衝區溢出攻擊的惟一方法是檢查所有用戶輸入的長度。例如,如果有一個表單元素要求輸入用戶的名字,那麼在這個域上添加值為 40 的 maxlength 屬性,並在後端使用 substr() 進行檢查。清單 13 給出表單和 PHP 代碼的簡短示例。
如何防止PHP進程異常退出
通常,在cli下運行的常駐後台PHP進程,可能異常退出,比如php執行過程中出現的致命錯誤,或被 kill 命令手動殺死等。如下面的php代碼:
while(1){
$content = fgets(STDIN);
if(empty($content)){
sleep(1);
}
//邏輯處理部分代碼省略
}
排查過程
我們使用register_shutdown_function來跟蹤下到底是什麼錯誤導致的進程退出。(想更多了解register_shutdown_function,請查看博文 妙用php中的register_shutdown_function和fastcgi_finish_request )加入了錯誤捕捉代碼。如下:
$is_end = false;
function catch_error(){
global $is_end;
$time = date(‘Y-m-d H:i:s’);
$error = error_get_last();
$msg = “$time [error]”;
if($is_end){
$msg .= “is_end[yes]”;
}else{
$msg .= “is_end[no]”;
}
if($error){
$msg .= var_export($error,1);
}
echo $msg.”\r\n”;
}
register_shutdown_function(“catch_error”);
可是,php進程再次退出。而在日誌中並沒有記錄任何信息。說明register_shutdown_function方法根本沒有執行。是什麼導致register_shutdown_function方法沒有運行呢?在php的官方文檔中又這樣一個注釋:
Shutdown functions will not be executed if the process is killed with a SIGTERM or SIGKILL signal. While you cannot intercept a SIGKILL, you can use pcntl_signal() to install a handler for a SIGTERM which uses exit() to end cleanly.
注釋的意思是當php進程獲得SIGTERM和SIGKILL信號而退出時,是不執行register_shutdown_function方法的。可以使用pcntl_signal()方法來捕獲信息,並調用相應的處理方法。
好,那是不是信號導致我們的php進程退出呢?我們加入如下代碼:
declare(ticks = 1);
function sig_handler($signo){
$time = date(‘Y-m-d H:i:s’);
echo $time.” exit signo[{$signo}]\r\n”;
exit(“”);
}
pcntl_signal(SIGTERM, “sig_handler”);
pcntl_signal(SIGHUP, “sig_handler”);
pcntl_signal(SIGINT, “sig_handler”);
pcntl_signal(SIGQUIT, “sig_handler”);
pcntl_signal(SIGILL, “sig_handler”);
pcntl_signal(SIGPIPE, “sig_handler”);
pcntl_signal(SIGALRM, “sig_handler”);
過一段時間,發現php進程退出了,日誌中出現了如下日誌信息:
2014-11-23 18:30:06 exit signo[14]
2014-11-23 18:30:06 [error]is_end[no]
看來是sigalarm信號導致php進程退出了。這個信號是可以捕獲和處理的。這樣無關緊要的信號,我們還是忽略吧。最終的代碼如下:
declare(ticks = 1);
$is_end = false;
function catch_error(){
global $is_end;
$time = date(‘Y-m-d H:i:s’);
$error = error_get_last();
$msg = “$time [error]”;
if($is_end){
$msg .= “is_end[yes]”;
}else{
$msg .= “is_end[no]”;
}
if($error){
$msg .= var_export($error,1);
}
echo $msg.”\r\n”;
}
register_shutdown_function(“catch_error”);
function sig_handler($signo){
$time = date(‘Y-m-d H:i:s’);
if($signo == 14){
//忽略alarm信號
echo $time.” ignore alarm signo[{$signo}]\r\n”;
}else{
echo $time.” exit signo[{$signo}]\r\n”;
exit(“”);
}
}
pcntl_signal(SIGTERM, “sig_handler”);
pcntl_signal(SIGHUP, “sig_handler”);
pcntl_signal(SIGINT, “sig_handler”);
pcntl_signal(SIGQUIT, “sig_handler”);
pcntl_signal(SIGILL, “sig_handler”);
pcntl_signal(SIGPIPE, “sig_handler”);
pcntl_signal(SIGALRM, “sig_handler”);
while(1){
$content = fgets(STDIN);
if(empty($content)){
sleep(1);
}
//邏輯處理部分代碼省略
}
$is_end = true;
經過一段觀察,在日誌中又發現了alarm相關的日誌,但是php進程依然在。看來我們的修改有作用了。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/246168.html
微信掃一掃 
支付寶掃一掃 