Suhosin，PHP保护神？

ihipop这两天一直在抱怨他的BT站在某些种子文件在做种的时候出现

"失败: 错误：缺少参数 info_hash"

的错误。有点BT常识的人都知道，BT客户端向服务器请求数据的方式仅仅是简单的HTTP GET，info_hash是其中的一个参数，表示bencode编码的种子文件中info这个字典的sha1值（二进制）。

announce.php开始是这么写的：

//为了好看省略了部分参数
$req = "passkey,info_hash,peer_id,port";
foreach (explode(",", $req) as $x)
{
    if (!isset($_GET[$x]))
    {
        err("错误：缺少参数 $x");
        break;
    }
}

很显然，上面的错误是因为$_GET["info_hash"]并不存在，按常识推断，很可能是info_hash参数并没有提交。然而另一方面，uTorrent作为广泛使用的BT客户端，不可能犯这种低级的错误，肯定提交了info_hash。由此引出了矛盾，到底哪里出了问题呢？经过一个下午的讨论，终于找到了罪魁祸首——Suhosin！想了解事情的真相和讨论的始末，请点击这里传送到“小顾de杂记”。

Suhosin，朝鲜语，译音为“保护神”。Suhosin是一个PHP程序的保护系统。它的设计初衷是为了保护服务器和用户抵御PHP程序和PHP核心中，已知或者未知的缺陷。Suhosin有两个独立的部分，使用时可以分开使用或者联合使用。第一部分是一个用于PHP核心的补丁，它能抵御缓冲区溢出或者格式化串的弱点；第二部分是一个强大的PHP扩展，包含其他所有的保护措施。

Suhosin的作用大概是：保护服务器和已知或未知的缺陷,类似内存泄漏等等吧；解决php的“远程文件包含”带来的安全隐患,例如PHP禁止allow_url_fopen选项，但不能彻底禁止通过PHP的攻击，Suhosin就修补了这个缺憾。可使用额外的配置来禁止一些php中可能带来安全隐患的功能。

在Suhosin源码的treat_data.c中定义了一个suhosin_hook_treat_data函数：

void suhosin_hook_treat_data()
{
    sapi_register_treat_data(suhosin_treat_data);
#ifdef ZEND_ENGINE_2
    if (old_input_filter == NULL) {
        old_input_filter = sapi_module.input_filter;
    }
    sapi_module.input_filter = suhosin_input_filter_wrapper;
#endif          
}

用自己的suhosin_treat_data函数hook掉了PHP中默认用来生成$_GET、$_POST等变量的php_default_treat_data函数。而在suhosin_treat_data函数中又使用了自定义的suhosin_input_filter函数对用来生成$_GET变量的变量进行了过滤：

if (val) { /* have a value */
    int val_len;
    unsigned int new_val_len;

    *val++ = '\0';
    php_url_decode(var, strlen(var));
    val_len = php_url_decode(val, strlen(val));
    val = estrndup(val, val_len);
    if (suhosin_input_filter(arg, var, &val, val_len, &new_val_len TSRMLS_CC)) {
#ifdef ZEND_ENGINE_2
        if (sapi_module.input_filter(arg, var, &val, new_val_len, &new_val_len TSRMLS_CC)) {
#endif
            php_register_variable_safe(var, val, new_val_len, array_ptr TSRMLS_CC);
#ifdef ZEND_ENGINE_2
        }
#endif          
    } else {
        SUHOSIN_G(abort_request) = 1;
    }
    efree(val);
} else {

再然后，在ifilter.c定义的suhosin_input_filter函数中有那么几行：

/* Check if variable value is truncated by a \0 */

if (val && *val && val_len != strlen(*val)) {

    if (SUHOSIN_G(disallow_nul)) {
        suhosin_log(S_VARS, "ASCII-NUL chars not allowed within request variables - dropped variable '%s'", var);
        if (!SUHOSIN_G(simulation)) {
            return 0;
        }
    }
    switch (arg) {
        case PARSE_GET:
            if (SUHOSIN_G(disallow_get_nul)) {
                suhosin_log(S_VARS, "ASCII-NUL chars not allowed within GET variables - dropped variable '%s'", var);
                if (!SUHOSIN_G(simulation)) {
                    return 0;
                }
            }
            break;
    }
}

如果val变量（也就是用来生成$_GET数组的变量）中有\0，并且Suhosin配置中disallow_get_nul（默认为1）为真，那么就会丢弃掉这个变量，于是$_GET中就不会存在这个索引值。由于info_hash是二进制值，包含\0那是很正常的，于是就被Suhosin当做敏感词给过滤掉了，再于是isset($_GET["info_hash"])就会返回false。终于，山高月小，水落而石出！

就是这样该死的Suhosin，浪费了我本应用来看宠物小精灵的时间！好好的PHP，干嘛非要弄个所谓的“保护神”。为了性能和方便，PHP中可以防止大部分SQL注入的magic_quotes_gpc选项都将要删除了，现在又弄个“保护神”来过滤敏感字符？关键是写出安全的代码，而不是安装乱七八糟的拓展来提高安全性！

参考链接：

1. 使用Suhosin保护PHP应用系统
2. Suhosin – 保护你的PHP

随机文章:

1. VBS打开选择文件对话框（Windows 7）
2. 中兴F460 V5.0光猫查看超级管理员密码
3. 用JavaScript实现Bencode算法
4. JavaScript 中小数和大整数的精度丢失
5. JavaScript调用VBS中的InputBox和MsgBox函数

这篇文章发布于 2011年03月28日，星期一，22:35，归类于 软件相关。 您可以跟踪这篇文章的评论通过 RSS 2.0 feed。 您可以留下评论，或者从您的站点trackback。