{"id":4934,"date":"2014-10-30T12:31:34","date_gmt":"2014-10-30T10:31:34","guid":{"rendered":"https:\/\/www.hostingvirtuale.com\/blog\/?p=4934"},"modified":"2020-01-07T16:22:48","modified_gmt":"2020-01-07T15:22:48","slug":"php-sicurezza-accorgimenti-base","status":"publish","type":"post","link":"https:\/\/www.hostingvirtuale.com\/blog\/php-sicurezza-accorgimenti-base-4934.html","title":{"rendered":"PHP e sicurezza: accorgimenti di base"},"content":{"rendered":"

\"PHP<\/p>\n

Un sistema completamente sicuro appare, fin dall\u2019inizio, virtualmente impossibile da realizzare: del resto abbiamo visto come falle tipo\u00a0ShellShock<\/a> si sono propagate addirittura per 20 anni senza nessun tipo di segnalazione.<\/p>\n

L\u2019accorgimento di sicurezza pi\u00f9 importante resta sempre quello legato al bilanciamento tra rischi ed usabilit\u00e0 del sistema<\/strong>: la regola base nella programmazione \u201ckeep it simple<\/i>\u201d, del resto, va a soddisfare un altro importante requisito.<\/p>\n

Tale requisito consente la manutenibilit\u00e0 del codice, a fronte di imporre l\u2019introduzione di dati sempre corretti, completi e verificati<\/b>. Per esempio, di fronte ad un form di registrazione troppo complesso alcuni utenti tendono a trovare scappatoie per aggirarlo o per inserire arbitrariamente comandi non ammessi<\/b>.<\/p>\n

Questi accorgimenti sono del tutto generici e si applicano indistintamente a Joomla!<\/a>, WordPress<\/a> e qualsiasi altro CMS\/servizio web basato su PHP, sia che venga ospitato su hosting condiviso<\/a>,\u00a0VPS<\/a>,\u00a0server dedicato<\/a> o cloud<\/a>.<\/p>\n

Code injection in PHP: la funzione eval()<\/b><\/h2>\n

La sicurezza di un sistema basato su PHP \u00e8 legata sempre all\u2019anello pi\u00f9 debole<\/strong> della catena che lo fa funzionare, ed \u00e8 per questo che resta fondamentale mantenere il codice semplice e manutenibile, in modo da limitare gli inevitabili bug<\/em>, soprattutto in prospettiva.<\/p>\n

L\u2019uso della funziona eval<\/em> \u00e8 uno dei rischi pi\u00f9 concreti per la sicurezza di qualsiasi webapp o sito PHP-based e questo perch\u00e8 permette l\u2019esecuzione di codice arbitrario<\/strong> mediante un qualsiasi entry-point<\/em> non filtrato che l\u2019attaccante riesce a reperire.<\/p>\n

I due principali sono, di fatto, le caselle di testo dei form <\/strong>e a volte anche gli URL dell\u2019applicativo PHP, che possono essere veicolo di code-injection<\/em> arbitraria, virtualmente molto pericolosa. Tra gli attacchi pi\u00f9 importanti e pericolosi da riconoscere ci sono quelli legati al filesystem<\/em>, ovvero alla possibilit\u00e0 di manipolare file e directory riservate ed a volte addirittura di iniettare malware all\u2019interno del sistema aggirando i controlli.<\/p>\n

Una situazione che in genere provoca problemi \u00e8 dovuto al mancato controllo delle variabili in ingresso<\/strong>: poich\u00e8 PHP \u00e8 stato progettato per consentire l\u2019accesso a livello utente al filesystem<\/em>, il linguaggio \u00e8 abiltato a leggere, scrivere e modificare qualsiasi file, modificare connessioni, inviare cron-job<\/a> massivi e cos\u00ec via. Supponiamo di avere due variabili che prelevano il proprio valore da una POST:<\/p>\n