SQL注入如何防范?
- WBOY原创
- 2016-07-06 13:53:27888浏览
昨天晚上已经11点多的时间,一个朋友突然找我说她们公司的网站的漏洞被提交到wooyun了。(然后就跟妹子大概了解了一下漏洞的情况 PS:妹子是php程序员)
wooyun上提交了两处漏洞,1处是SQL注入 (经过了解,她们公司的用的框架是11年的老框架,还是
mysql_query()这些老的mysql函数) 另一处就是cookie的问题,妹子把用户的uid,等敏感信息都写进cookie了,2333。然后php处理业务逻辑的uid也是从cookie里面拿的,233333 (导致修改cookie后可以伪装成任意用户)我给她说了SQL注入的解决方案(第一种治标不治本的,用正则匹配SQL语句,过滤危险字符,关键字,转义符号,第二种方案,弃用mysql老函数,用PDO或者mysqli)(cookie那个地方的漏洞,我建议她把uid等敏感信息存在session里面,然后把sessionID加密后放在cookie里面)
妹子最后说,她大概听懂了.改公司框架的mysql驱动是不太现实的,公司不会让她改的,那就只好用正则匹配SQL语句,过滤非法字符串了!
我就去网上找了一些SQL语句过滤的函数 号称很好用的SQL过滤函数
知乎大婶们的回答
想跟大家讨论一下 SQL注入防范的姿势 大家有没有比较好用的SQL注入 过滤SQL语句的函数,分享一下,谢谢!
回复内容:
昨天晚上已经11点多的时间,一个朋友突然找我说她们公司的网站的漏洞被提交到wooyun了。(然后就跟妹子大概了解了一下漏洞的情况 PS:妹子是php程序员)
wooyun上提交了两处漏洞,1处是SQL注入 (经过了解,她们公司的用的框架是11年的老框架,还是
mysql_query()这些老的mysql函数) 另一处就是cookie的问题,妹子把用户的uid,等敏感信息都写进cookie了,2333。然后php处理业务逻辑的uid也是从cookie里面拿的,233333 (导致修改cookie后可以伪装成任意用户)我给她说了SQL注入的解决方案(第一种治标不治本的,用正则匹配SQL语句,过滤危险字符,关键字,转义符号,第二种方案,弃用mysql老函数,用PDO或者mysqli)(cookie那个地方的漏洞,我建议她把uid等敏感信息存在session里面,然后把sessionID加密后放在cookie里面)
妹子最后说,她大概听懂了.改公司框架的mysql驱动是不太现实的,公司不会让她改的,那就只好用正则匹配SQL语句,过滤非法字符串了!
我就去网上找了一些SQL语句过滤的函数 号称很好用的SQL过滤函数
知乎大婶们的回答
想跟大家讨论一下 SQL注入防范的姿势 大家有没有比较好用的SQL注入 过滤SQL语句的函数,分享一下,谢谢!
为什么不用预处理??????????
为什么不用预处理??????????
为什么不用预处理??????????
重要的事情说三遍!
SQL注入已经是上个世纪的事情了!
如果你不想重新编写,可以使用我简单封装的现成PHP类,请选择其中一个使用。
(我发现代码有我的项目的某些痕迹,所以删掉了无关代码)
MySQLi版:
<code><?php class DB
{
var $Sql;
var $Fetch;
var $Param = array();
public function __construct($Sql, $Fetch, $Param = array())
{
$this->sql = $Sql;
$this->fetch = $Fetch;
$this->param = $Param;
//数据库信息存放在配置文件里面,请自行修改成正确的路径和值
require($_SERVER['DOCUMENT_ROOT'] . '/configs/config.inc.php');
$this->dbhost = & $DBHost;
$this->dbuser = & $DBUser;
$this->dbpw = & $DBPassword;
$this->dbname = & $DBName;
}
public function Query()
{
$Mysqli = new mysqli($this->dbhost, $this->dbuser, $this->dbpw, $this->dbname);
if ($Mysqli->connect_errno)
{
echo '无法连接数据库';
return false;
}
$Mysqli->query('SET NAMES UTF8');
$Mysqli->begin_transaction(MYSQLI_TRANS_START_READ_ONLY);
$Stmt = $Mysqli->stmt_init();
$Stmt->prepare($this->sql);
if (count($this->param) > 0)
{
$Type = '';
for ($i = 0; $i param); $i++)
{
if (is_double($this->param[$i]))
{
$Type .= 'd';
}
else if (is_int($this->param[$i]))
{
$Type .= 'i';
}
else if (is_string($this->param[$i]))
{
$Type .= 's';
}
else
{
$Type .= 'b';
}
}
$RefArg = array($Type);
for ($I = 0; $I param); $I++)
{
$RefArg[] = & $this->param[$I];
}
call_user_func_array(array($Stmt, 'bind_param'), $RefArg);
}
if (!$Stmt->execute())
{
echo '读取数据库时发生错误:'. $Stmt->error;
echo $this->sql;
print_r($this->param);
$Mysqli->rollback();
return false;
}
$Mysqli->commit();
if (strtolower(substr($this->sql, 0, 6)) == 'select')
{
$this->res = $Stmt->get_result();
$Stmt->free_result();
return $this->GetRes();
}
else
{
$Stmt->free_result();
return true;
}
}
public function GetRes()
{
switch(strtolower($this->fetch))
{
case 'all':
$row = $this->res->fetch_all();
break;
case 'array':
$row = $this->res->fetch_array();
break;
case 'assoc':
$row = $this->res->fetch_assoc();
break;
case 'field':
$row = $this->res->fetch_field();
break;
case 'row':
$row = $this->res->fetch_row();
break;
default:
echo 'Please select a row return mode.';
exit;
}
return $row;
}
public function NumRow()
{
if (isset($this->res))
{
return $this->res->num_rows;
}
else
{
return false;
}
}
}
?></code>
PDO_MYSQL版:
<code><?php class DB
{
var $SQL;
var $Fetch;
var $Param = array();
public function __construct($SQL, $Fetch, $Param)
{
//数据库信息存放在配置文件里面,请自行修改成正确的路径和值
require($_SERVER['DOCUMENT_ROOT'] . '/configs/config.inc.php');
$this->DBHost = & $DBHost;
$this->DBUser = & $DBUser;
$this->DBPW = & $DBPassword;
$this->DBName = & $DBName;
$this->SQL = $SQL;
$this->Fetch = $Fetch;
$this->Param = $Param;
}
public function Query()
{
try
{
$Pdo = new PDO('mysql:host=' . $this->DBHost . ';dbname=' . $this->DBName, $this->DBUser, $this->DBPW);
$Pdo->query('SET NAMES UTF8');
$Pdo->beginTransaction();
$Stmt = $Pdo->prepare($this->SQL);
if (count($this->Param) > 0)
{
for ($I = 0; $I Param); $I++)
{
$Stmt->bindParam($I + 1, $this->Param[$I]);
}
}
if (!$Stmt->execute())
{
echo '读取数据库时发生错误:' . $Stmt->errorinfo()[2];
$Pdo->rollback();
return false;
}
$Pdo->commit();
if (strtolower(substr($this->SQL, 0, 6)) == 'select' || strtolower(substr($this->SQL, 0, 4)) == 'desc')
{
$this->Res = $Stmt;
return $this->GetRes();
}
else
{
return true;
}
}
catch (PDOException $e)
{
echo '无法连接数据库';
$Pdo->rollback();
return false;
}
}
public function GetRes()
{
switch(strtolower($this->Fetch))
{
case 'all':
$Row = $this->Res->fetchAll(PDO::FETCH_ASSOC);
break;
case 'array':
$Row = $this->Res->fetch(PDO::FETCH_BOTH);
break;
case 'assoc':
case 'field':
$Row = $this->Res->fetch(PDO::FETCH_ASSOC);
break;
case 'row':
$Row = $this->Res->fetch(PDO::FETCH_NUM);
break;
default:
echo 'Please select a row return mode.';
exit;
}
return $Row;
}
public function NumRow()
{
if (isset($this->Res))
{
return $this->Res->num_rows;
}
else
{
return false;
}
}
}
?></code>
使用方法:
<code>$DB = new DB(SQL语句, 结果集方式, array(要绑定的参数); $DB->Query();</code>
注意!!!SQL语句用 ? 代替要查询的参数!!!SQL注入漏洞是因为SQL语句拼接了变量!!!
PS:如果不能改框架,那还是洗洗睡吧,时间只会淘汰墨守成规的人和过时的技术。
别指望正则过滤SQL语句能彻底杜绝SQL注入,PHP7放弃MySQL扩展的原因就是因为这个扩展有安全漏洞!
之前已经写过类似的总结就不照搬了,常用Web安全的防范建议都有(稍微有些遗漏的后续再继续补充),可参考:PHP安全编码
简单理解就是能用PDO预处理用PDO,不能用PDO就用addslashes顶上。
PHP 系统函数有这个 addslashes() 可以试试
如果不用正则过滤,可以考虑转义。
其实防御SQL注入的本质就是对GPC外来变量进行敏感字符进行相关的转义,或者拦截。可以在框架入口文件或路由解析类中对GPC进行预处理好后给后面的业务使用,这比较容易实现还动起来好实现。至于cookie,一改大改,用一些加密方式检验cookie吧,加密密钥可以放在session。
嗯,这个事情的姿势应该是这样的:
外面加一些安全服务,例如加速乐之类的(我们用加速乐,响应一般多了100毫秒,偶尔有波动,安全性也只是基础吧,一些post一些xss都拦截不到)
服务器装web应用防火墙软件
评估时间,慢慢迁移到pdo,查询都用参数绑定(我个人觉得不是不让改,而是需要时间来安排这个)
由于PHP>=5.5已经废除了mysql_*,所以为了兼容性考虑应该抽空把框架重构了。
试试 www.oneasp.com