web开发安全守则之永远不要相信用户的输入

一直听说 永远不要相信用户的输入，我一直没有足够地重视。今天让我彻底地明白这个安全原则是多么的重要。

 

最近上了一个social game游戏项目，其中涉及到道具的购买。我们将这个游戏放到facebook和mixi平台上面，没有发生任何问题（没有人去攻击）。最近将其发布到人人网平台上，于是接二连三地攻击出现了。其他的一些攻击问题我不详细说了，就谈谈我开发的购买道具时候出现的问题：

 

下面我简单地把代码模拟一下：

从flash端请求的参数：Num（购买道具数量）， TypeId（道具的标示）；

我这边的参数处理： $num = intval（$_POST['Num']）; $id = intval($_POST['TypeId']); .....后面是程序的逻辑处理部分，即为用户添加道具。

看到这里，如果不看下文，大家会想到可以使用什么来攻击了吗？当然所有的php接口调用之前作过了安全检查的，即只有登陆的用户才有权限调用购买道具的接口，

这一点大家不用考虑。

 

原因：攻击者使Num为负数，没有检查购买道具数量是否为正值，所以后面所有的判断对这个负值都没有起作用，于是用户就得到了负数个道具，由于在使用道具的时候没有判断用户的道具是否可以为负数，只是在原有的基础上减一，用户道具的数量为负数，然而用户可以继续使用该道具。

结果就是攻击者获得了大量的道具，并对数据库的完整性产生破坏。

 

要解决上面的问题只要对用户的输入做一个判断即可，首先验证用户购买道具的数量是否大于0，否则就给出错误信息，

在用户使用的道具的时候再次判断用户是否有该道具，同样给出错误信息。

 

总结：在处理用户输入时，一定要防止非法的请求。