PHP中SQL注入解析

一、 注入式攻擊的種類
可能存在許多不同類型的攻擊動機，但是乍看上去，似乎存在更多的類型。這是非常真實的-如果惡意用戶發現了一個能夠執行多個查詢的辦法的話。本文後面，我們會對此作詳細討論。
如
果你的腳本正在執行一個SELECT指令，那麼，攻擊者可以強迫顯示一個表格中的每一行記錄-通過把一個例如”1=1”這樣的條件注入到WHERE子句中，如下所示(其中，注入部分以粗體顯示)：
SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'

正如我們在前面所討論的，這本身可能是很有用的信息，因為它揭示了該表格的一般結構(這是一條普通的記錄所不能實現的)，以及潛在地顯示包含機密資訊的記錄。
一條更新指令潛在地具有更直接的威脅。透過把其它屬性放到SET子句中，一名攻擊者可以修改當前被更新的記錄中的任何字段，例如下面的例子（其中，注入部分以粗體顯示）：
UPDATE wines SET type='red'，'vintage'='9999' WHERE variety = 'lagrein'

透過把一個例如1=1這樣的恆真條件加到一條更新指令的WHERE子句中，這種修改範圍可以擴展到每一筆記錄，例如下面的例子（其中，注入部分以粗體顯示）：
UPDATE wines SET type=’red’，’vintage’=’9999 WHERE variety = ‘lagrein’ OR 1=1;’

最危險的指令可能是DELETE-這是不難想像的。其註入技術與我們已經看到的相同-透過修改WHERE子句來擴展受影響的記錄的範圍，例如下面的例子（其中，注入部分以粗體顯示）：
DELETE FROM wines WHERE variety = ‘lagrein’ OR 1=1;’

二、 多個查詢注入
多個查詢注入將會加劇一個攻擊者可能引起的潛在的損壞-通過允許多條破壞性指令包括在一個查詢中。在使用MySQL資料庫時，攻擊者透過把一個出乎意料之外的終止符插入到查詢中即可很容易實現這一點-此時一個注入的引號(單引號或雙引號)標記期望變數的結尾；然後使用一個分號終止指令。現在，一個另外的攻擊指令可能被加入到現在終止的原始指令的結尾。最終的破壞性查詢可能看起來如下所示：

<code><span><span>SELECT</span> * <span>FROM</span> wines <span>WHERE</span> variety = <span>'lagrein'</span>;</span><span><span>GRANT</span><span>ALL</span><span>ON</span> *.* <span>TO</span><span>'BadGuy@%'</span> IDENTIFIED <span>BY</span><span>'gotcha'</span>;</span>' </code>

這個注入將創建一個新的用戶BadGuy並賦予其網路特權（在所有的表格上具有所有的特權）；其中，還有一個」不祥」的口令被加入這個簡單的SELECT語句。如果你遵循我們在先前文章中的建議——嚴格限制該過程使用者的特權，那麼，這應該無法運作，因為web伺服器守護程式不再擁有你撤回的GRANT特權。但是從理論上講，這樣的一個攻擊可能給予BadGuy自由權力來實現他對你的資料庫的任何操作。

至於這樣的一個多查詢是否會被MySQL伺服器處理，結論並不唯一。這其中的一些原因可能是由於不同版本的MySQL所致，但是大多數情況卻是由於多查詢存在的方式所致。 MySQL的監視程式完全允許這樣的一個查詢。常用的MySQL GUI-phpMyAdmin，在最終查詢之前會複製出以前的所有內容，而且只這樣做。
但是，大多數的在一個注入上下文中的多查詢都是由PHP的mysql擴充負責管理的。幸好，預設情況下，它是不允許在一個查詢中執行多個指令的；試圖執行兩個指令(例如上面所示的注入)將會簡單地導致失敗-不設定任何錯誤，並且沒有產生任何輸出資訊.在這種情況下，儘管PHP也只是」規規矩矩」地實現其缺省行為，但是確實能夠保護你免於大多數簡單的注入式攻擊。
PHP5中的新的mysqli擴充(參考http://php.net/mysqli)，就像mysql一樣，內在地也不支援多個查詢，不過卻提供了一個mysqli_multi_query()函式以支援你實作多查詢-如果你確實想這樣做的話。
然而，對於SQLite-與PHP5綁定到一起的可嵌入的SQL資料庫引擎(參考http://sqlite.org/和http://php.net/sqlite)情況更為可怕，由於其易於使用而吸引了大量用戶的關注。在某些情況下，SQLite缺省地允許這樣的多指令查詢，因為這個資料庫可以最佳化批次查詢，特別是非常有效的批次INSERT語句處理。然而，如果查詢的結果為你的腳本所使用的話（例如在使用一個SELECT語句檢索記錄的情況下），sqlite_query()函數卻不會允許執行多個查詢。三、 INVISION Power BOARD SQL注入脆弱性
Invision Power Board是個著名的論壇系統。 2005年五月6號，在登入程式碼中發現了一處SQL注入脆弱性。其發現
者為GulfTech Security Research的James Bercegay。
這個登入查詢如下所示：

<code><span>$DB</span>->query(<span>"SELECT * FROM ibf_members WHERE id=<span>$mid</span> AND password='<span>$pid</span>'"</span>); </code>

其中，成员ID变量mid和口令ID变量

以上就介绍了PHP中SQL注入解析，包括了方面的内容，希望对PHP教程有兴趣的朋友有所帮助。