SQL 注入是PHP應用中最常見的漏洞之一。事實上令人驚訝的是,開發者要同時犯兩個錯誤才會引發一個SQL注入漏洞,一個是沒有對輸入的資料進行過濾(過濾輸入),還有一個是沒有對發送到資料庫的資料進行轉義(轉義輸出)。這兩個重要的步驟缺一不可,需要同時加以特別注意以減少程序錯誤。
對於攻擊者來說,進行SQL注入攻擊需要思考和試驗,對資料庫方案進行有根有據的推理非常有必要(當然假設攻擊者看不到你的原始程式和資料庫方案),考慮以下簡單的登錄表單:
CODE:
<form action="/login.php" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="Log In" /></p> </form>
圖3-1 給出了該表單在瀏覽器中的顯示。
作為一個攻擊者,他會從推測驗證使用者名稱和密碼的查詢語句開始。透過查看原始文件,他就能開始猜測你的習慣。
圖3-1.瀏覽器中登入表單的顯示
命名習慣。通常會假設你表單中的欄位名稱與資料表中的欄位名稱相同。當然,確保它們不同未必是一個可靠的安全措施。
第一次猜測,通常會使用下面範例中的查詢:
CODE:
<?php $password_hash = md5($_POST['password']); $sql = "SELECT count(*) FROM users WHERE username = '{$_POST['username']}' AND password = '$password_hash'"; ?>
#使用使用者密碼的MD5值原來是通行的做法,但現在並不是特別安全了。最近的研究顯示MD5演算法有缺陷,而且大量MD5資料庫降低了MD5反向破解的難度。請造訪http://www.php.cn/ 查看示範。
譯註:原文如此,山東大學教授王小雲的研究表明可以很快的找到MD5的“碰撞”,就是可以產生相同的MD5值的不同兩個文件和字符串。 MD5是資訊摘要演算法,而不是加密演算法,反向破解也就無從談起了。不過根據這個成果,在上面的特例中,直接使用md5是危險的。
###### 最好的保護方法是在密碼上附加一個你自己定義的字串,例如:###### ######CODE:############ ######
<?php $salt = 'SHIFLETT'; $password_hash = md5($salt . md5($_POST['password'] . $salt)); ?>#################### 當然,攻擊者未必在第一次就能猜中,他們常常還需要做一些試驗。有一個比較好的試驗方式是把單引號當作使用者名錄入,原因是這樣可能會暴露一些重要資訊。有許多開發人員在Mysql語句執行出錯時會呼叫函數mysql_error()來回報錯誤。請看下面的範例:############CODE:############# ######
<?php mysql_query($sql) or exit(mysql_error()); ?>############ ######### 雖然該方法在開發中十分有用,但它能向攻擊者暴露重要資訊。如果攻擊者把單引號做為使用者名,mypass做成密碼,查詢語句就會變成:#############CODE:########### # #####
<?php $sql = "SELECT * FROM users WHERE username = ''' AND password = 'a029d0df84eb5549c641e04a9ef389e5'"; ?>#####################當語句傳送到MySQL後,系統就會顯示下列錯誤訊息:####### ##### ######
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE username = ''' AND password = 'a029d0df84eb55###################### ########### 不費吹灰之力,攻擊者已經知道了兩個欄位名稱(username和password)以及他們出現在查詢中的順序。除此之外,攻擊者還知道了資料沒有正確進行過濾(程式沒有提示非法使用者名稱)和轉義(出現了資料庫錯誤),同時整個WHERE條件的格式也暴露了,這樣,攻擊者就可以嘗試操縱符合查詢的記錄了。 ############ 在這一點上,攻擊者有很多選擇。一是嘗試填入一個特殊的用戶名,以使查詢無論用戶名密碼是否符合,都能得到匹配:############ #####
myuser' or 'foo' = 'foo' --
假定将mypass作为密码,整个查询就会变成:
CODE:
<?php $sql = "SELECT * FROM users WHERE username = 'myuser' or 'foo' = 'foo' -- AND password = 'a029d0df84eb5549c641e04a9ef389e5'"; ?>
由于中间插入了一个SQL注释标记,所以查询语句会在此中断。这就允许了一个攻击者在不知道任何合法用户名和密码的情况下登录。
如果知道合法的用户名,攻击者就可以该用户(如chris)身份登录:
chris' --
只要chris是合法的用户名,攻击者就可以控制该帐号。原因是查询变成了下面的样子:
CODE:
<?php $sql = "SELECT * FROM users WHERE username = 'chris' -- AND password = 'a029d0df84eb5549c641e04a9ef389e5'"; ?>
幸运的是,SQL注入是很容易避免的。正如第一章所提及的,你必须坚持过滤输入和转义输出。
虽然两个步骤都不能省略,但只要实现其中的一个就能消除大多数的SQL注入风险。如果你只是过滤输入而没有转义输出,你很可能会遇到数据库错误(合法的数据也可能影响SQL查询的正确格式),但这也不可靠,合法的数据还可能改变SQL语句的行为。另一方面,如果你转义了输出,而没有过滤输入,就能保证数据不会影响SQL语句的格式,同时也防止了多种常见SQL注入攻击的方法。
当然,还是要坚持同时使用这两个步骤。过滤输入的方式完全取决于输入数据的类型(见第一章的示例),但转义用于向数据库发送的输出数据只要使用同一个函数即可。对于MySQL用户,可以使用函数mysql_real_escape_string( ):
CODE:
<?php $clean = array(); $mysql = array(); $clean['last_name'] = "O'Reilly"; $mysql['last_name'] = mysql_real_escape_string($clean['last_name']); $sql = "INSERT INTO user (last_name) VALUES ('{$mysql['last_name']}')"; ?>
尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes( )是最终的比较好的方法。
当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。
CODE:
如果你正在使用支持参数化查询语句和占位符的数据库操作类(如PEAR::DB, PDO等),你就会多得到一层保护。见下面的使用PEAR::DB的例子:
CODE:
<?php $sql = 'INSERT INTO user (last_name) VALUES (?)'; $dbh->query($sql, array($clean['last_name'])); ?>
CODE:
由于在上例中数据不能直接影响查询语句的格式,SQL注入的风险就降低了。PEAR::DB会自动根据你的数据库的要求进行转义,所以你只需要过滤输出即可。
如果你正在使用参数化查询语句,输入的内容就只会作为数据来处理。这样就没有必要进行转义了,尽管你可能认为这是必要的一步(如果你希望坚持转义输出习惯的话)。实际上,这时是否转义基本上不会产生影响,因为这时没有特殊字符需要转换。在防止SQL注入这一点上,参数化查询语句为你的程序提供了强大的保护。
译注:关于SQL注入,不得不说的是现在大多虚拟主机都会把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。但如果你编写的是通用软件,则需要读取服务器的magic_quotes_gpc后进行相应处理。
以上就是PHP安全-SQL 注入的内容,更多相关内容请关注PHP中文网(www.php.cn)!