PHP está sujeto a la seguridad misma de la mayoría de sistemas de servidores en lo que a permisos sobre archivos y directorios se refiere. Esto le permite controlar cuáles archivos en el sistema de archivos pueden ser leídos. Debe tenerse cuidado con aquellos archivos que tengan permisos de lectura globales, para asegurarse de que su contenido es seguro y no represente peligro el que pueda ser leído por todos los usuarios con acceso al sistema de archivos.
Ya que PHP fue diseñado para permitir acceso al nivel de usuarios al sistema de archivos, es completamente posible escribir un script PHP que le permita leer archivos del sistema como /etc/passwd, modificar sus conexiones tipo ethernet, enviar trabajos de impresión masivos, etc. Esto tiene algunas implicaciones obvias, en el sentido en que usted tiene que asegurarse de que los archivos desde lo que lee y hacia los que escribe datos, sean los correctos.
Considere el siguiente script, en donde un usuario indica que quisiera eliminar un archivo ubicado en su directorio personal. Este caso asume que se trata de una situación en donde se usa normalmente una interfaz web que se vale de PHP para la gestión de archivos, así que el usuario de Apache tiene permitido eliminar archivos en los directorios personales de los usuarios.
Example#1 Un chequeo pobre de variables nos lleva a...
<?php
// eliminar un archivo del directorio personal del usuario
$nombre_usuario = $_POST['nombre_enviado_por_el_usuario'];
$archivo_usuario = $_POST['archivo_enviado_por_el_usuario'];
$directorio_home = "/home/$nombre_usuario";
unlink("$directorio_home/$archivo_usuario");
echo "¡El archivo ha sido eliminado!";
?>
Example#2 ... un ataque al sistema de archivos
<?php
// elimina un archivo de cualquier parte del disco duro al que el
// usuario de PHP tiene acceso. Si PHP tiene acceso de root:
$nombre_usuario = $_POST['nombre_enviado_por_el_usuario']; // "../etc"
$archivo_usuario = $_POST['archivo_enviado_por_el_usuario']; // "passwd"
$directorio_home = "/home/$nombre_usuario"; // "/home/../etc"
unlink("$directiorio_home/$archivo_usuario"); // "/home/../etc/passwd"
echo "¡El archivo ha sido eliminado!";
?>
Example#3 Un chequeo de nombres de archivos más seguro
<?php
// elimina un archivo de cualquier parte del disco duro al que el
// usuario de PHP tiene acceso.
$nombre_usuario = $_SERVER['REMOTE_USER']; // uso de un mecanismo de autenticación
$archivo_usuario = basename($_POST['archivo_enviado_por_el_usuario']);
$directorio_home = "/home/$nombre_usuario";
$ruta_archivo = "$directorio_home/$archivo_usuario";
if (file_exists($ruta_archivo) && unlink($ruta_archivo)) {
$cadena_registro = "Se eliminó $ruta_archivo\n";
} else {
$cadena_registro = "No se pudo eliminar $ruta_archivo\n";
}
$da = fopen("/home/logging/eliminacion_archivos.log", "a");
fwrite($da, $cadena_registro);
fclose($da);
echo htmlentities($cadena_registro, ENT_QUOTES);
?>
Example#4 Chequeo de nombres de archivos aun más seguro
<?php
$nombre_usuario = $_SERVER['REMOTE_USER']; // uso de un mecanismo de autenticación
$archivo_usuario = $_POST['archivo_enviado_por_el_usuario'];
$directorio_home = "/home/$nombre_usuario";
$ruta_archivo = "$directorio_home/$archivo_usuario";
if (!ctype_alnum($nombre_usuario) || !preg_match('/^(?:[a-z0-9_-]|\.(?!\.))+$/iD', $archivo_usuario)) {
die("Nombre de usuario o archivo incorrecto");
}
//etc...
?>
Dependiendo de su sistema operativo, existe una amplia variedad de archivos sobre los que usted debería estar atento, incluyendo las entradas de dispositivos (/dev/ o COM1), archivos de configuración (archivos /etc/ y los archivos .ini), areas conocidas de almacenamiento de datos (/home/, Mis Documentos), etc. Por esta razón, usualmente es más sencillo crear una política en donde se prohíba toda transacción excepto por aquellas que usted permita explícitamente.
Dado que PHP usa las funciones de C de bajo nivel para las operaciones relacionadas con el sistema de archivos, puede que los bytes nulos sean gestionados de una forma inesperada. Debido a que los bytes nulos denotan el final de una cadena en C, las cadenas que los contienen no serán consideradas en su totalidad, sino únicamente hasta que ocurre un byte nulo. El siguiente ejemplo muestra un segmento de código vulnerable que demuestra este problema:
Example#5 Script vulnerable a bytes nulos
<?php
$archivo = $_GET['archivo']; // "../../etc/passwd\0"
if (file_exists('/home/wwwrun/'.$archivo.'.php')) {
// file_exists devolverá true ya que el archivo /home/wwwrun/../../etc/passwd existe
include '/home/wwwrun/'.$archivo.'.php';
// el archivo /etc/passwd será incluido
}
?>
Por lo tanto, cualquier cadena que sea usada en una operación del sistema de archivos debe ser validada apropiadamente siempre. He aquí una versión mejor del ejemplo anterior:
Example#6 Validación correcta de la entrada
<?php
$archivo = $_GET['archivo'];
// Lista de valores correctos posibles
switch ($archivo) {
case 'principal':
case 'foo':
case 'bar':
include '/home/wwwrun/include/'.$archivo.'.php';
break;
default:
include '/home/wwwrun/include/principal.php';
}
?>