php防止SQL注入详解及防范


Posted in PHP onNovember 12, 2013

一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。
对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单:

<form action="/login.php" method="POST">
<p>Username: <input type="text" name="username" /></p>
<p>Password: <input type="password" name="password" /></p>
<p><input type="submit" value="Log In" /></p>
</form>

作为一个攻击者,他会从推测验证用户名和密码的查询语句开始。通过查看源文件,他就能开始猜测你的习惯。
比如命名习惯。通常会假设你表单中的字段名为与数据表中的字段名相同。当然,确保它们不同未必是一个可靠的安全措施。
第一次猜测,一般会使用下面例子中的查询:
<?php
 $password_hash = md5($_POST['password']);$sql = "SELECT count(*)
      FROM   users
      WHERE  username = '{$_POST['username']}'
      AND    password = '$password_hash'";
 ?>

使用用户密码的MD5值原来是一个通行的做法,但现在并不是特别安全了。最近的研究表明MD5算法有缺陷,而且大量MD5数据库降低了MD5反向破解的难度。请访问http://md5.rednoize.com/ 查看演示(原文如此,山东大学教授王小云的研究表明可以很快的找到MD5的“碰撞”,就是可以产生相同的MD5值的不同两个文件和字串。MD5是信息摘要算法,而不是加密算法,反向破解也就无从谈起了。不过根据这个成果,在上面的特例中,直接使用md5是危险的。)。
最好的保护方法是在密码上附加一个你自己定义的字符串,例如:
<?php
 $salt = 'SHIFLETT';
$password_hash = md5($salt . md5($_POST['password'] . $salt));
 ?>

当然,攻击者未必在第一次就能猜中,他们常常还需要做一些试验。有一个比较好的试验方式是把单引号作为用户名录入,原因是这样可能会暴露一些重要信息。有很多开发人员在Mysql语句执行出错时会调用函数mysql_error()来报告错误。见下面的例子:
<?php
 mysql_query($sql) or exit(mysql_error());
 ?>

虽然该方法在开发中十分有用,但它能向攻击者暴露重要信息。如果攻击者把单引号做为用户名,mypass做为密码,查询语句就会变成:
<?php
 $sql = "SELECT *
      FROM   users
      WHERE  username = '''
      AND    password = 'a029d0df84eb5549c641e04a9ef389e5'";
 ?>

当该语句发送到MySQL后,系统就会显示如下错误信息:
You have an error in your SQL syntax. Check the manual that corresponds to your
MySQL server version for the right syntax to use near 'WHERE username = ''' AND
password = 'a029d0df84eb55

不费吹灰之力,攻击者已经知道了两个字段名(username和password)以及他们出现在查询中的顺序。除此以外,攻击者还知道了数据没有正确进行过滤(程序没有提示非法用户名)和转义(出现了数据库错误),同时整个WHERE条件的格式也暴露了,这样,攻击者就可以尝试操纵符合查询的记录了。
在这一点上,攻击者有很多选择。一是尝试填入一个特殊的用户名,以使查询无论用户名密码是否符合,都能得到匹配:
myuser' or 'foo' = 'foo' --

假定将mypass作为密码,整个查询就会变成:
<?php$sql = "SELECT *
      FROM   users
      WHERE  username = 'myuser' or 'foo' = 'foo' --
      AND    password = 'a029d0df84eb5549c641e04a9ef389e5'";
?>

幸运的是,SQL注入是很容易避免的。正如前面所提及的,你必须坚持过滤输入和转义输出。
虽然两个步骤都不能省略,但只要实现其中的一个就能消除大多数的SQL注入风险。如果你只是过滤输入而没有转义输出,你很可能会遇到数据库错误(合法的数据也可能影响SQL查询的正确格式),但这也不可靠,合法的数据还可能改变SQL语句的行为。另一方面,如果你转义了输出,而没有过滤输入,就能保证数据不会影响SQL语句的格式,同时也防止了多种常见SQL注入攻击的方法。
当然,还是要坚持同时使用这两个步骤。过滤输入的方式完全取决于输入数据的类型(见第一章的示例),但转义用于向数据库发送的输出数据只要使用同一个函数即可。对于MySQL用户,可以使用函数mysql_real_escape_string( ):
<?php
 $clean = array();
$mysql = array();$clean['last_name'] = "O'Reilly";
$mysql['last_name'] = mysql_real_escape_string($clean['last_name']);
$sql = "INSERT
      INTO   user (last_name)
      VALUES ('{$mysql['last_name']}')";
 ?>

尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。
当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。如果你正在使用支持参数化查询语句和占位符的数据库操作类(如PEAR::DB, PDO等),你就会多得到一层保护。见下面的使用PEAR::DB的例子:
<?php
$sql = 'INSERT
      INTO   user (last_name)
      VALUES (?)';
$dbh->query($sql, array($clean['last_name']));
?>

由于在上例中数据不能直接影响查询语句的格式,SQL注入的风险就降低了。PEAR::DB会自动根据你的数据库的要求进行转义,所以你只需要过滤输出即可。
如果你正在使用参数化查询语句,输入的内容就只会作为数据来处理。这样就没有必要进行转义了,尽管你可能认为这是必要的一步(如果你希望坚持转义输出习惯的话)。实际上,这时是否转义基本上不会产生影响,因为这时没有特殊字符需要转换。在防止SQL注入这一点上,参数化查询语句为你的程序提供了强大的保护。
注:关于SQL注入,不得不说的是现在大多虚拟主机都会把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。但如果你编写的是通用软件,则需要读取服务器的magic_quotes_gpc后进行相应处理。
PHP 相关文章推荐
PHP正则的Unknown Modifier错误解决方法
Mar 02 PHP
php 网页播放器用来播放在线视频的代码(自动判断并选择视频文件类型)
Jun 03 PHP
采集邮箱的php代码(抓取网页中的邮箱地址)
Jul 17 PHP
php存储过程调用实例代码
Feb 03 PHP
ThinkPHP CURD方法之order方法详解
Jun 18 PHP
浅谈php正则表达式中的非贪婪模式匹配的使用
Nov 25 PHP
php利用scws实现mysql全文搜索功能的方法
Dec 25 PHP
php实现的mongodb操作类
May 28 PHP
thinkphp框架实现删除和批量删除
Jun 29 PHP
php表单习惯用的正则表达式
Oct 11 PHP
php+jQuery ajax实现的实时刷新显示数据功能示例
Sep 12 PHP
php5与php7的区别点总结
Oct 11 PHP
php session劫持和防范的方法
Nov 12 #PHP
php后门URL的防范
Nov 12 #PHP
php打开远程文件的方法和风险及解决方法
Nov 12 #PHP
php使用exec shell命令注入的方法讲解
Nov 12 #PHP
PHP使用PHPMailer发送邮件的简单使用方法
Nov 12 #PHP
PHP迭代器的内部执行过程详解
Nov 12 #PHP
PHP迭代器实现斐波纳契数列的函数
Nov 12 #PHP
You might like
Discuz 5.0 中读取纯真IP数据库函数分析
2007/03/16 PHP
PHP5 操作MySQL数据库基础代码
2009/09/29 PHP
基于AppServ,XAMPP,WAMP配置php.ini去掉警告信息(NOTICE)的方法详解
2013/05/07 PHP
php设置session值和cookies的学习示例
2014/03/21 PHP
PHP Filter过滤器全面解析
2016/08/09 PHP
php实现的http请求封装示例
2016/11/08 PHP
PHP中的自动加载操作实现方法详解
2019/08/06 PHP
laravel 自定义常量的两种方案
2019/10/14 PHP
菜鸟javascript基础资料整理3 正则
2010/12/06 Javascript
JS简单的图片放大缩小的两种方法
2013/11/11 Javascript
浏览器窗口加载和大小改变事件示例
2014/02/27 Javascript
jquery判断复选框是否选中进行答题提示特效
2015/12/10 Javascript
整理关于Bootstrap过渡动画的慕课笔记
2017/03/29 Javascript
利用 spin.js 生成等待效果(js 等待效果)
2017/06/25 Javascript
浅谈webpack对样式的处理
2018/01/05 Javascript
webpack 模块热替换原理
2018/04/09 Javascript
使用Vuex解决Vue中的身份验证问题
2018/09/28 Javascript
javascript实现异形滚动轮播
2019/11/28 Javascript
Python中的高级数据结构详解
2015/03/27 Python
Python自动登录126邮箱的方法
2015/07/10 Python
基于Python的关键字监控及告警
2017/07/06 Python
python实现简单名片管理系统
2018/11/30 Python
python交易记录链的实现过程详解
2019/07/03 Python
Python3.8对可迭代解包的改进及用法详解
2019/10/15 Python
Python pickle模块实现对象序列化
2019/11/22 Python
python如何通过twisted搭建socket服务
2020/02/03 Python
Jupyter打开图形界面并画出正弦函数图像实例
2020/04/24 Python
浅谈python量化 双均线策略(金叉死叉)
2020/06/03 Python
Superdry极度乾燥官网:日本街头风格,纯英国制造品牌
2016/10/31 全球购物
行政总经理岗位职责
2013/12/05 职场文书
大学生表扬信范文
2014/01/09 职场文书
《回乡偶书》教学反思
2014/04/12 职场文书
爱护公物标语
2014/06/24 职场文书
2014年电信员工工作总结
2014/12/19 职场文书
新学期开学标语2015
2015/07/16 职场文书
《最后一头战象》读后感:动物也有感情
2020/01/02 职场文书