php中sql注入漏洞示例 sql注入漏洞修复


Posted in PHP onJanuary 24, 2014

在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。

 一、SQL注入的步骤

a)  寻找注入点(如:登录界面、留言板等)

b)  用户自己构造SQL语句(如:' or 1=1#,后面会讲解)

c)  将sql语句发送给数据库管理系统(DBMS)

d)  DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作

e)  DBMS接受返回的结果,并处理,返回给用户

因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL语句够灵活的话)。

下面,我通过一个实例具体来演示下SQL注入

二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1)  前期准备工作

先来演示通过SQL注入漏洞,登入后台管理员界面

首先,创建一张试验用的数据表:

CREATETABLE `users` (
`id`int(11) NOT NULL AUTO_INCREMENT,
`username`varchar(64) NOT NULL,
`password`varchar(64) NOT NULL,
`email`varchar(64) NOT NULL,
PRIMARYKEY (`id`),
UNIQUEKEY `username` (`username`)
)ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试:

INSERTINTO users (username,password,email)
VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来,贴上登录界面的源代码:

<html>
<head>
<title>Sql注入演示</title>
<meta http-equiv="content-type"content="text/html;charset=utf-8">
</head>
<body>
<form action="validate.php" method="post">
  <fieldset >
    <legend>Sql注入演示</legend>
    <table>
      <tr>
        <td>用户名:</td>
        <td><inputtype="text" name="username"></td>
      </tr>
      <tr>
        <td>密  码:</td>
        <td><inputtype="text" name="password"></td>
      </tr>
      <tr>
        <td><inputtype="submit" value="提交"></td>
        <td><inputtype="reset" value="重置"></td>
      </tr>
    </table>
  </fieldset>
</form>
</body>
</html>

当用户点击提交按钮的时候,将会把表单数据提交给validate.php页面,validate.php页面用来判断用户输入的用户名和密码有没有都符合要求(这一步至关重要,也往往是SQL漏洞所在)

代码如下:

<html>
<head>
<title>登录验证</title>
<meta http-equiv="content-type"content="text/html;charset=utf-8">
</head>
<body>
<?php
       $conn=@mysql_connect("localhost",'root','')or die("数据库连接失败!");;
      mysql_select_db("injection",$conn) or die("您要选择的数据库不存在");
      $name=$_POST['username'];
      $pwd=$_POST['password'];
      $sql="select * from users where username='$name' andpassword='$pwd'";
      $query=mysql_query($sql);
      $arr=mysql_fetch_array($query);
      if(is_array($arr)){
             header("Location:manager.php");
       }else{
             echo "您的用户名或密码输入有误,<a href="Login.php">请重新登录!</a>";
       }
?>
</body>
</html>

注意到了没有,我们直接将用户提交过来的数据(用户名和密码)直接拿去执行,并没有实现进行特殊字符过滤,待会你们将明白,这是致命的。
代码分析:如果,用户名和密码都匹配成功的话,将跳转到管理员操作界面(manager.php),不成功,则给出友好提示信息。
到这里,前期工作已经做好了,接下来将展开我们的重头戏:SQL注入

2) 构造SQL语句

填好正确的用户名(marcofly)和密码(test)后,点击提交,将会返回给我们“欢迎管理员”的界面。

因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的:

select * from users where username='marcofly' andpassword=md5('test')

很明显,用户名和密码都和我们之前给出的一样,肯定能够成功登陆。但是,如果我们输入一个错误的用户名或密码呢?很明显,肯定登入不了吧。恩,正常情况下是如此,但是对于有SQL注入漏洞的网站来说,只要构造个特殊的“字符串”,照样能够成功登录。

比如:在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:

select * from users where username='' or 1=1#' and password=md5('')

语义分析:“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,换句话说,以下的两句sql语句等价:

select * from users where username='' or 1=1#' and password=md5('')

等价于
select *from users where username='' or 1=1

因为1=1永远是都是成立的,即where子句总是为真,将该sql进一步简化之后,等价于如下select语句:

select * from users

没错,该sql语句的作用是检索users表中的所有字段
小技巧:如果不知道' or 1=1#中的单引号的作用,可以自己echo 下sql语句,就一目了然了。
看到了吧,一个经构造后的sql语句竟有如此可怕的破坏力,相信你看到这后,开始对sql注入有了一个理性的认识了吧~
没错,SQL注入就是这么容易。但是,要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后,自己再去慢慢摸索吧。
有没有想过,如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢?这样的话,我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策,要知道用户和数据库打交道的途径不止这一条。
PHP 相关文章推荐
15个小时----从修改程序到自己些程序
Oct 09 PHP
解决phpmyadmin 乱码,支持gb2312和utf-8
Nov 20 PHP
php str_pad() 将字符串填充成指定长度的字符串
Feb 23 PHP
PHP大批量数据操作时临时调整内存与执行时间的方法
Apr 20 PHP
php array_map()数组函数使用说明
Jul 12 PHP
php 伪造本地文件包含漏洞的代码
Nov 03 PHP
基于php验证码函数的使用示例
May 03 PHP
php开启openssl的方法
May 15 PHP
PHP中的gzcompress、gzdeflate、gzencode函数详解
Jul 29 PHP
php对数组内元素进行随机调换的方法
May 12 PHP
微信公众平台开发之天气预报功能
Aug 31 PHP
php微信公众号开发之微信企业付款给个人
Oct 04 PHP
php 发送带附件邮件示例
Jan 23 #PHP
php 获取页面中指定内容的实现类
Jan 23 #PHP
php 根据url自动生成缩略图并处理高并发问题
Jan 23 #PHP
php 字符串压缩方法比较示例
Jan 23 #PHP
php 生成短网址原理及代码
Jan 23 #PHP
解决php接收shell返回的结果中文乱码问题
Jan 23 #PHP
php弹出对话框实现重定向代码
Jan 23 #PHP
You might like
用PHP和ACCESS写聊天室(十)
2006/10/09 PHP
PHP设计模式 注册表模式
2012/02/05 PHP
php-redis中的sort排序函数总结
2015/07/08 PHP
网页加载时页面显示进度条加载完成之后显示网页内容
2012/12/23 Javascript
基于datagrid框架的查询
2013/04/08 Javascript
js 阻止子元素响应父元素的onmouseout事件具体实现
2013/12/23 Javascript
jquery 页面滚动到底部自动加载插件集合
2014/01/31 Javascript
js网页实时倒计时精确到秒级
2014/02/10 Javascript
当滚动条滚动到页面底部自动加载增加内容的js代码
2014/05/13 Javascript
javascript中Number的方法小结
2016/11/21 Javascript
js通过classname来获取元素的方法
2016/11/24 Javascript
JS实现Ajax的方法分析
2016/12/20 Javascript
jQuery实现拖拽可编辑模块功能代码
2017/01/12 Javascript
基于 Vue.js 2.0 酷炫自适应背景视频登录页面实现方式
2018/01/17 Javascript
微信小程序版翻牌小游戏
2018/01/26 Javascript
基于vue的验证码组件的示例代码
2019/01/22 Javascript
layui 弹出删除确认界面的实例
2019/09/06 Javascript
Vue+Bootstrap实现简易学生管理系统
2021/02/09 Vue.js
深度辨析Python的eval()与exec()的方法
2019/03/26 Python
Python Django 页面上展示固定的页码数实现代码
2019/08/21 Python
基于h5py的使用及数据封装代码
2019/12/26 Python
详解Pycharm出现out of memory的终极解决方法
2020/03/03 Python
基于python调用jenkins-cli实现快速发布
2020/08/14 Python
matplotlib绘制多子图共享鼠标光标的方法示例
2021/01/08 Python
python利用proxybroker构建爬虫免费IP代理池的实现
2021/02/21 Python
CSS3中的元素过渡属性transition示例详解
2016/11/30 HTML / CSS
CSS Grid布局教程之什么是网格布局
2014/12/30 HTML / CSS
详解HTML5表单新增属性
2016/12/21 HTML / CSS
html5使用Canvas绘图的使用方法
2017/11/21 HTML / CSS
澳大利亚领先的运动鞋商店:Hype DC
2018/03/31 全球购物
网络安全方面的面试题
2015/11/04 面试题
打造完美自荐信
2014/01/24 职场文书
趣味体育活动方案
2014/02/08 职场文书
2016感恩父亲节主题广播稿
2015/12/18 职场文书
MySQL 隔离数据列和前缀索引的使用总结
2021/05/14 MySQL
python识别围棋定位棋盘位置
2021/07/26 Python