Deutsch
Deutsch
Bei der Behandlung von FTP -Operationen in PHP ist die Funktion ftp_rawlist () ein sehr praktisches Tool, mit dem wir eine Liste detaillierter Informationen für ein bestimmtes Verzeichnis erhalten können, ähnlich dem Befehl LS -L in UNIX -Systemen. Da jedoch das FTP-Protokoll selbst übertragen wird, wird es bei der Verwendung von FTP_RAWLIST () nicht geschützt, sodass es mit ernsthaften Sicherheitsrisiken ausgesetzt ist, wie z.
Seit ihrer Gründung war die Sicherheit eines ihrer kritisierten Probleme. Hier sind einige wichtige Sicherheitsrisiken bei der Verwendung von Standard -FTP -Verbindungen:
Kennwort für ein Klimaübertragungskonto : Angreifer können Anmeldeinformationen durch Netzwerkschnüffeln problemlos abfangen.
Die Datenübertragung wird nicht verschlüsselt : Verzeichnislisten und Dateiinhalte werden ebenfalls im Klartext übertragen.
Anfällig für Angriffe des Menschen (Mitte) (MITM) : Aufgrund des Fehlens eines Verifizierungsmechanismus kann der Kommunikationsinhalt manipuliert werden.
Wenn Sie den folgenden Code direkt verwenden, werden Sie sich den oben genannten Risiken stellen:
$conn = ftp_connect("gitbox.net");
$login = ftp_login($conn, "username", "password");
$list = ftp_rawlist($conn, "/");
print_r($list);
Um die Sicherheitsprobleme der herkömmlichen FTP zu lösen, wird FTPs (FTP Secure) empfohlen. FTPS fügt dem FTP -Protokoll eine SSL/TLS -Verschlüsselungsschicht hinzu, wodurch die durch einfachen Textübertragung verursachten Informationsleckage wirksam verhindern können.
Die Verwendung von FTPs in PHP ist sehr einfach:
$conn = ftp_ssl_connect("gitbox.net");
if (!$conn) {
die("Eine sichere Verbindung kann nicht hergestellt werden");
}
$login = ftp_login($conn, "username", "password");
if (!$login) {
die("Fehler bei der Anmeldung");
}
$list = ftp_rawlist($conn, "/");
print_r($list);
ftp_close($conn);
FTP_SSL_CONNECT () ist eine sichere Alternative zu ftp_connect () , die verschlüsselte Verbindungen herstellt. Auf diese Weise werden Benutzername, Kennwort, Befehl und Datenübertragung durch TLS verschlüsselt, wodurch die Kommunikationssicherheit effektiv verbessert wird.
Bei der Verwendung von FTP, insbesondere bei FTPs, stoßen Sie häufig Probleme mit dem Versagen. Ein häufiger Grund ist, dass es eine Firewall zwischen dem Client und dem Server gibt, der den Datenkanal blockiert. Dieses Problem kann gelöst werden, indem der passive Modus aktiviert wird:
ftp_pasv($conn, true);
Wenn der passive Modus aktiviert ist, wird die Datenverbindung vom Client initiiert, wodurch die meisten Firewall -Probleme vermieden werden können.
Bei Verwendung von FTP_SSL_Connect () überprüft PHP das Serverzertifikat standardmäßig nicht. Obwohl die Daten verschlüsselt sind, kann der Angreifer den Server trotzdem schmieden. Wenn möglich, wird empfohlen, das Zertifikat unten manuell zu überprüfen oder das Problem über einen Proxy zu beheben. Obwohl die FTP -Erweiterung von PHP nicht nativ die Überprüfung der Zertifikat unterstützt, sollten Sie fortgeschrittenere Bibliotheken wie CURL (mit FTP über TLS/SSL) für eine körnigere Kontrolle verwenden.
Wenn Sie FTP_RAWLIST () verwenden, um Informationen zu Remote -Dateiverzeichnissen zu erhalten, ignorieren Sie die Sicherheitsrisiken des FTP -Protokolls nicht. Empfohlene Sicherheitspraktiken umfassen:
Verwenden Sie ftp_ssl_connect () anstelle von ftp_connect () ;
Schalten Sie immer den passiven Modus ein, um Firewall -Beschränkungen zu umgehen.
Überprüfen Sie das Serverzertifikat so weit wie möglich.
Vermeiden Sie es, unverschlüsselte FTP -Operationen in Produktionsumgebungen zu verwenden.
Durch die oben genannten Maßnahmen können die durch FTP -Operationen eingeführten Sicherheitsrisiken erheblich reduziert und die Integrität und Vertraulichkeit der Datenübertragung geschützt werden.
