本项目包含两部分: php安全编码规范和PHP安全SDK,SDK介绍详见下述。
├── composer.json
├── readme.md
└── src
├── DataSecurity
│ ├── AESEncryptHelper.php //AES加解密
│ ├── EncryptHelper.php
│ └── RSAEncryptHelper.php //RSA加解密
├── EncoderSecurity
│ ├── BaseEncoder.php
│ ├── EncoderSecurity.php
│ ├── HtmlEntityEncoder.php //html 实体编码
│ └── JavaScriptEncoder.php //js编码
├── HTMLPurifier //xss payload过滤
│ ├── HTMLPurifier
│ ├── HTMLPurifier.php
│ ├── HTMLPurifier_Default_config.php
│ └── LICENSE
├── SLIM //pdo增删改查封装
│ ├── Clause
│ ├── Database.php
│ ├── LICENSE
│ ├── Mysql.php
│ ├── Statement
│ ├── Statement.php
│ └── docs
├── SecurityUtil.php
└── URLSecurity
├── DefenseAgainstCSRF.php // csrf防护
├── DefenseAgainstRedirect.php // 任意url重定向防护
├── DefenseAgainstSSRF.php // ssrf防护
└── URLSecurity.php
"require": {
"momosec/rhizobia": "1.0.0"
},
"repositories":[
{"type":"vcs","url":"https://github.com/momosecurity/rhizobia_P.git"}]
composer install
function getCookie() {
var value = "; " + document.cookie;
var parts = value.split("; csrf_token=");
if (parts.length == 2)
return parts.pop().split(";").shift();
}
$.ajax({
type: "post",
url: "/URL",
data: {csrf_token:getCookie()},
dataType: "json",
success: function (data) {
if (data.ec == 200) {
//do something
}
}
});
$this->securityUtil=SecurityUtil::getInstance();
if(!$this->securityUtil->verifyCSRFToken()){
return ; //csrf token 校验失败
}
// 处理业务逻辑
注意: 受csrf_token生成方式影响,存在XSS问题时,可能会导致全局csrf防护失效。
$this->securityUtil=SecurityUtil::getInstance();
$this->securityUtil->purifier($data);
以上会对$data做xss payload过滤。
说明: 参考自ezyang/htmlpurifier,psr-0改为psr-4,内容调整。
注意:
为保证处理速度,还应对相应文件夹赋予写权限,用于保存缓存文件。
chmod -R 0755 /src/HTMLPurifier/HTMLPurifier/DefinitionCache/Serializer
$this->securityUtil->encodeForHTML($data)
以上会对$data做html实体编码
$this->securityUtil->encodeForJavaScript($data)
以上会对$data做javaScript编码
$this->securityUtil=SecurityUtil::getInstance();
$white=[".protect.domain"];
if(!$this->securityUtil->verifyRedirectUrl($url,$white)){
return ; //非法url
}
// 处理业务逻辑
其中verifyRedirectUrl函数默认参数$white值为array(),需设置白名单域名。
说明: 该封装方法拒绝任何非http、https的URL。
use Security\SQLSecurity\Mysql; //引入需要的类
/**
* 数据库连接配置信息
*/
$dbconf = array(
"hostname" => "127.0.0.1",
"port" => 3306,
"database" => "oversold",
"charset" => "utf8",
"username" => "root",
"password" => "toor",
);
$this->db = Mysql::getInstance()->initdb($dbconf);
数据库连接配置选项如下:
$config["hostname"] //mysql地址
$config["port"] //mysql端口
$config["database"] //使用的数据库
$config["timeout"] //超时时间,默认1s
$config["charset"] //字符集,默认UTF8
$config["ATTR_ERRMODE"] //错误级别,默认PDO::ERRMODE_EXCEPTION
$config["ATTR_DEFAULT_FETCH_MODE"] //数据提取模式,默认PDO::FETCH_ASSOC
$config["ATTR_PERSISTENT"] //是否启用持久连接,默认不启用
$config["username"] //用户名
$config["password"] //密码
//查询
$result=$this->db->select()->from("oversolod")->where("id","=",$id)->execute()->fetchAll();
//删除
$result=$this->db->delete()->from("oversolod")->where("name","like","%".$name."%")->execute();
//插入
$result=$this->db->insert(array("name","age"))->into("oversolod")->values(array($name,$age))->execute();
//更新
$result=$this->db->update(array("name" => $name))->table("oversolod")->where("id", "=", $id)->execute();
$this->securityUtil=SecurityUtil::getInstance();
if(!$this->securityUtil->verifySSRFURL($url)){
return ; //非法url
}
// 开始处理业务逻辑
$this->securityUtil=SecurityUtil::getInstance();
$this->securityUtil->initAESConfig($key);
//$uuid 用户唯一身份标识
$pwd = $this->securityUtil->createSecretKey($uuid);
$data = $this->securityUtil->aesEncrypt($data, $pwd);
//$pwd为第三步生成的加密密钥
$result = $this->securityUtil->aesDecrypt($data, $pwd);
$this->securityUtil=SecurityUtil::getInstance();
$this->securityUtil->initRSAConfig(dirname(__FILE__)."/pri.key",dirname(__FILE__)."/pub.key");
//公钥加密
$result=$this->securityUtil->rsaPublicEncrypt($data );
//私钥解密
$result= $this->securityUtil->rsaPrivateDecrypt($data);
$result=$this->securityUtil->rsaPrivateEncrypt($data ); //私钥加密
$result= $this->securityUtil->rsaPublicDecrypt($data); //公钥解密