web开发安全守则之永远不要相信用户的输入

一直听说 永远不要相信用户的输入,我一直没有足够地重视。今天让我彻底地明白这个安全原则是多么的重要。

 

最近上了一个social game游戏项目,其中涉及到道具的购买。我们将这个游戏放到facebook和mixi平台上面,没有发生任何问题(没有人去攻击)。最近将其发布到人人网平台上,于是接二连三地攻击出现了。其他的一些攻击问题我不详细说了,就谈谈我开发的购买道具时候出现的问题:

 

下面我简单地把代码模拟一下:

从flash端请求的参数:Num(购买道具数量), TypeId(道具的标示);

我这边的参数处理: $num = intval($_POST['Num']); $id = intval($_POST['TypeId']); .....后面是程序的逻辑处理部分,即为用户添加道具。

看到这里,如果不看下文,大家会想到可以使用什么来攻击了吗?当然所有的php接口调用之前作过了安全检查的,即只有登陆的用户才有权限调用购买道具的接口,

这一点大家不用考虑。

 

原因:攻击者使Num为负数,没有检查购买道具数量是否为正值,所以后面所有的判断对这个负值都没有起作用,于是用户就得到了负数个道具,由于在使用道具的时候没有判断用户的道具是否可以为负数,只是在原有的基础上减一,用户道具的数量为负数,然而用户可以继续使用该道具。

结果就是攻击者获得了大量的道具,并对数据库的完整性产生破坏。

 

要解决上面的问题只要对用户的输入做一个判断即可,首先验证用户购买道具的数量是否大于0,否则就给出错误信息,

在用户使用的道具的时候再次判断用户是否有该道具,同样给出错误信息。

 

总结:在处理用户输入时,一定要防止非法的请求。

posted @ 2010-07-12 14:33  库从志  阅读(1574)  评论(4编辑  收藏  举报