php中sql注入漏洞示例 sql注入漏洞修复


Posted in PHP onJanuary 24, 2014

在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。

 一、SQL注入的步骤

a)  寻找注入点(如:登录界面、留言板等)

b)  用户自己构造SQL语句(如:' or 1=1#,后面会讲解)

c)  将sql语句发送给数据库管理系统(DBMS)

d)  DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作

e)  DBMS接受返回的结果,并处理,返回给用户

因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL语句够灵活的话)。

下面,我通过一个实例具体来演示下SQL注入

二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1)  前期准备工作

先来演示通过SQL注入漏洞,登入后台管理员界面

首先,创建一张试验用的数据表:

CREATETABLE `users` (
`id`int(11) NOT NULL AUTO_INCREMENT,
`username`varchar(64) NOT NULL,
`password`varchar(64) NOT NULL,
`email`varchar(64) NOT NULL,
PRIMARYKEY (`id`),
UNIQUEKEY `username` (`username`)
)ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试:

INSERTINTO users (username,password,email)
VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来,贴上登录界面的源代码:

<html>
<head>
<title>Sql注入演示</title>
<meta http-equiv="content-type"content="text/html;charset=utf-8">
</head>
<body>
<form action="validate.php" method="post">
  <fieldset >
    <legend>Sql注入演示</legend>
    <table>
      <tr>
        <td>用户名:</td>
        <td><inputtype="text" name="username"></td>
      </tr>
      <tr>
        <td>密  码:</td>
        <td><inputtype="text" name="password"></td>
      </tr>
      <tr>
        <td><inputtype="submit" value="提交"></td>
        <td><inputtype="reset" value="重置"></td>
      </tr>
    </table>
  </fieldset>
</form>
</body>
</html>

当用户点击提交按钮的时候,将会把表单数据提交给validate.php页面,validate.php页面用来判断用户输入的用户名和密码有没有都符合要求(这一步至关重要,也往往是SQL漏洞所在)

代码如下:

<html>
<head>
<title>登录验证</title>
<meta http-equiv="content-type"content="text/html;charset=utf-8">
</head>
<body>
<?php
       $conn=@mysql_connect("localhost",'root','')or die("数据库连接失败!");;
      mysql_select_db("injection",$conn) or die("您要选择的数据库不存在");
      $name=$_POST['username'];
      $pwd=$_POST['password'];
      $sql="select * from users where username='$name' andpassword='$pwd'";
      $query=mysql_query($sql);
      $arr=mysql_fetch_array($query);
      if(is_array($arr)){
             header("Location:manager.php");
       }else{
             echo "您的用户名或密码输入有误,<a href="Login.php">请重新登录!</a>";
       }
?>
</body>
</html>

注意到了没有,我们直接将用户提交过来的数据(用户名和密码)直接拿去执行,并没有实现进行特殊字符过滤,待会你们将明白,这是致命的。
代码分析:如果,用户名和密码都匹配成功的话,将跳转到管理员操作界面(manager.php),不成功,则给出友好提示信息。
到这里,前期工作已经做好了,接下来将展开我们的重头戏:SQL注入

2) 构造SQL语句

填好正确的用户名(marcofly)和密码(test)后,点击提交,将会返回给我们“欢迎管理员”的界面。

因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的:

select * from users where username='marcofly' andpassword=md5('test')

很明显,用户名和密码都和我们之前给出的一样,肯定能够成功登陆。但是,如果我们输入一个错误的用户名或密码呢?很明显,肯定登入不了吧。恩,正常情况下是如此,但是对于有SQL注入漏洞的网站来说,只要构造个特殊的“字符串”,照样能够成功登录。

比如:在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:

select * from users where username='' or 1=1#' and password=md5('')

语义分析:“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,换句话说,以下的两句sql语句等价:

select * from users where username='' or 1=1#' and password=md5('')

等价于
select *from users where username='' or 1=1

因为1=1永远是都是成立的,即where子句总是为真,将该sql进一步简化之后,等价于如下select语句:

select * from users

没错,该sql语句的作用是检索users表中的所有字段
小技巧:如果不知道' or 1=1#中的单引号的作用,可以自己echo 下sql语句,就一目了然了。
看到了吧,一个经构造后的sql语句竟有如此可怕的破坏力,相信你看到这后,开始对sql注入有了一个理性的认识了吧~
没错,SQL注入就是这么容易。但是,要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后,自己再去慢慢摸索吧。
有没有想过,如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢?这样的话,我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策,要知道用户和数据库打交道的途径不止这一条。
PHP 相关文章推荐
图书管理程序(三)
Oct 09 PHP
怎样在UNIX系统下安装MySQL
Oct 09 PHP
连接到txt文本的超链接,不直接打开而是点击后下载的处理方法
Jul 01 PHP
用Simple Excel导出xls实现方法
Dec 06 PHP
php递归json类实例
Dec 02 PHP
php浏览历史记录的方法
Mar 10 PHP
php将数组转换成csv格式文件输出的方法
Mar 14 PHP
浅析Yii2缓存的使用
May 10 PHP
PHP基于PDO实现的SQLite操作类【包含增删改查及事务等操作】
Jun 21 PHP
PHP实现获取毫秒时间戳的方法【使用microtime()函数】
Mar 01 PHP
Laravel获取所有的数据库表及结构的方法
Oct 10 PHP
tp5.1框架数据库子查询操作实例分析
May 26 PHP
php 发送带附件邮件示例
Jan 23 #PHP
php 获取页面中指定内容的实现类
Jan 23 #PHP
php 根据url自动生成缩略图并处理高并发问题
Jan 23 #PHP
php 字符串压缩方法比较示例
Jan 23 #PHP
php 生成短网址原理及代码
Jan 23 #PHP
解决php接收shell返回的结果中文乱码问题
Jan 23 #PHP
php弹出对话框实现重定向代码
Jan 23 #PHP
You might like
php5 and xml示例
2006/11/22 PHP
PHP XML操作类DOMDocument
2009/12/16 PHP
PHP 使用pcntl和libevent 实现Timer功能
2013/10/27 PHP
简单了解WordPress开发中update_option()函数的用法
2016/01/11 PHP
php自定义中文字符串截取函数substr_for_gb2312及substr_for_utf8示例
2016/05/28 PHP
PHP实现基于栈的后缀表达式求值功能
2017/11/10 PHP
laravel在中间件内生成参数并且传递到控制器中的2种姿势
2019/10/15 PHP
InnerHtml和InnerText的区别分析
2009/03/13 Javascript
对象特征检测法判断浏览器对javascript对象的支持
2009/07/25 Javascript
javascript基础知识大集锦(二) 推荐收藏
2011/01/13 Javascript
Jquery动态改变图片IMG的src地址示例
2013/06/25 Javascript
express的中间件bodyParser详解
2014/12/04 Javascript
jquery实现鼠标滑过显示二级下拉菜单效果
2015/08/24 Javascript
详解使用PM2管理nodejs进程
2017/10/24 NodeJs
Vue + Vue-router 同名路由切换数据不更新的方法
2017/11/20 Javascript
详解vue-meta如何让你更优雅的管理头部标签
2018/01/18 Javascript
详解Vue CLI3配置解析之css.extract
2018/09/14 Javascript
bat和python批量重命名文件的实现代码
2016/05/19 Python
用Python编写一个简单的CS架构后门的方法
2018/11/20 Python
python3.6+selenium实现操作Frame中的页面元素
2019/07/16 Python
django的403/404/500错误自定义页面的配置方式
2020/05/21 Python
Python接口自动化测试的实现
2020/08/28 Python
如何解决python多种版本冲突问题
2020/10/13 Python
HTML5 声明兼容IE的写法
2011/05/16 HTML / CSS
大学生就业自我鉴定
2013/10/26 职场文书
仓库门卫岗位职责
2013/12/22 职场文书
高中校园广播稿
2014/01/11 职场文书
西式结婚主持词
2014/03/14 职场文书
乡镇信息公开实施方案
2014/03/23 职场文书
迎国庆横幅标语
2014/10/08 职场文书
2016新年感言
2015/08/03 职场文书
导游词之河北邯郸
2019/09/12 职场文书
css 中多种边框的实现小窍门
2021/04/07 HTML / CSS
JavaScript 防篡改对象的用法示例
2021/04/24 Javascript
go语言-在mac下brew升级golang
2021/04/25 Golang
进阶篇之linux环境下安装MySQL数据库
2022/04/09 MySQL