Yii框架开发安全考虑

这篇文章是作为补充Yii框架开发安全考虑，因为Yii教程里几经含有了开发过程中需要考虑的安全教程。 但是基于那个教程里没有提到所有常见的web攻击，所以在这里补充两个最常见的web攻击: SQL注入式和Magic URL.

SQL注入式

SQL注入式是一种最常见并且最容易实现的一个web应用的攻击，这个攻击已经在最近的几年内上升为第一个web开发的安全问题。这种攻击发生于当你(开发者)获取用户的输入值，并直接把它作为纯Sql语句对数据库进行查询而造成的。
这种攻击可以篡改，删除数据，甚至可以公开一个商业的用户资料。

举一个简单例子,假设你有这样的一个SQL语句:

"Select * from User where username=".$username;

其中$username是你从用户端获取的值。如果用户是个有经验的开发者，他很容易就可以猜到你的sql语句大概是什么样。那么他可以提供这样的值，比如: ” ‘john’ or 1=1″, 如果你直接把这个值放入到sql语句中，那么语句就变成了:

"Select * from User where username='john' or 1=1";

可以看到，你如果懂的一些Sql，这个语句将会在你数据库表格获取所有的用户数据， 那么这些数据就有被公开的危险性， 这是个简单的例子，但是很好了说明了这个攻击是怎么发生的。

那么什么防范措施可以起到保护数据作用呢?这里给几个建议:
1. 检查，过滤任何从用户端接收到的数据，不用相信任何用户的数据。
2. 避免直接在控制层写 Sql语句，如果你一定要，请实行第一步操作。
3. 尽量把sql语句写在模型层，并尽量使用内嵌的API如 find(),findAll()等。

Magic URL

另一个攻击你需要注意的是Magic URL.这个攻击发生于，在开发者把Url的参数作为调用其他函数的参数并直接执行它。
特别注意的是Yii框架的架构已经具有被攻击的潜在可能。如果没有合适的用户验证措施和其他对策，攻击者可能能够删除你在数据库中的所有数据。

让我们看看一个具体的例，假设你有一个ImageController其中包含常用的方法：

Class ImageController extends Controller{
    public function accessRules(){
         ...
         array('allow', 'actions'=>array('delete'),'users'=>array('*'),
         ...
    }
    public function actionCreate(){
         ....
    }
    ...
    public function actionDelete($id){
         $this->loadModel($id)->delete();
    }
}

你可以从上面的代码看到，这种控制类允许身份验证的用户来执行删除操作。因此，一个情景可以是用户点击一个图片下的“删除”按钮，然后将图像记录从数据库表中删除。但是，就这么简单吗？如果您有一些关于HTTP URL的知识，那么你知道这个删除操作的URL可能是:

http://yourdomain.com/image/delete?id=3

或其他相似的。现在也许变得清晰，如果你的数据库设计只是简单的增加了数字来改变图片记录的ID，那么可能会发生攻击是通过简单地改变URL中的ID值来删除由另一个用户拥有的图片记录，因此这是一个不安全的代码设计。

防范措施:
1. 通过检查用户的角色授权操作，考虑使用基于角色的访问控制（RBAC）。
2. 避免使用GET方法，如果一个HttP请求的结果在服务器端有改变模型状态的作用，请使用POST并通过这个： Yii::app()->request->isPostRequest 来检查一个请求是否是AJAX.
3. 检查，过滤任何从用户端接收到的数据，不用相信任何用户的数据。
4. 提高访问规则的门槛，给用户留下最少特权。