PHP+SQL 注入攻击的技术实现以及预防办法


Posted in PHP onJanuary 27, 2011

1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off
2. 开发者没有对数据类型进行检查和转义

不过事实上,第二点最为重要。我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质。但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开。

为什么说第二点最为重要?因为如果没有第二点的保证,magic_quotes_gpc 选项,不论为 on,还是为 off,都有可能引发 SQL 注入攻击。下面来看一下技术实现:
 一. magic_quotes_gpc = Off 时的注入攻击

magic_quotes_gpc = Off 是 php 中一种非常不安全的选项。新版本的 php 已经将默认的值改为了 On。但仍有相当多的服务器的选项为 off。毕竟,再古董的服务器也是有人用的。

当magic_quotes_gpc = On 时,它会将提交的变量中所有的 '(单引号)、"(双号号)、\(反斜线)、空白字符,都为在前面自动加上 \。下面是 php 的官方说明:

magic_quotes_gpc boolean 
Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When magic_quotes are on, all ' (single-quote), " (double quote), \ (backslash) and NUL's are escaped with a backslash automatically

如果没有转义,即 off 情况下,就会让攻击者有机可乘。以下列测试脚本为例:
<? 
if ( isset($_POST["f_login"] ) ) 
{ 
// 连接数据库... 
// ...代码略... // 检查用户是否存在 
$t_strUname = $_POST["f_uname"]; 
$t_strPwd = $_POST["f_pwd"]; 
$t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1"; 
if ( $t_hRes = mysql_query($t_strSQL) ) 
{ 
// 成功查询之后的处理. 略... 
} 
} 
?> 
<html><head><title>sample test</title></head> 
<body> 
<form method=post action=""> 
Username: <input type="text" name="f_uname" size=30><br> 
Password: <input type=text name="f_pwd" size=30><br> 
<input type="submit" name="f_login" value="登录"> 
</form> 
</body>

在这个脚本中,当用户输入正常的用户名和密码,假设值分别为 zhang3、abc123,则提交的 SQL 语句如下:
SELECT * FROM tbl_users 
WHERE username='zhang3' AND password = 'abc123' LIMIT 0,1

如果攻击者在 username 字段中输入:zhang3' OR 1=1 #,在 password 输入 abc123,则提交的 SQL 语句变成如下:
SELECT * FROM tbl_users 
WHERE username='zhang3' OR 1=1 #' AND password = 'abc123' LIMIT 0,1

由于 # 是 mysql中的注释符, #之后的语句不被执行,实现上这行语句就成了:
SELECT * FROM tbl_users 
WHERE username='zhang3' OR 1=1

这样攻击者就可以绕过认证了。如果攻击者知道数据库结构,那么它构建一个 UNION SELECT,那就更危险了:

假设在 username 中输入:zhang3 ' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #

在password 输入: abc123,

则提交的 SQL 语句变成:

SELECT * FROM tbl_users 
WHERE username='zhang3 ' 
OR 1 =1 UNION select cola, colb,cold FROM tbl_b #' AND password = 'abc123' LIMIT 0,1

这样就相当危险了。如果agic_quotes_gpc选项为 on,引号被转义,则上面攻击者构建的攻击语句就会变成这样,从而无法达到其目的:
SELECT * FROM tbl_users 
WHERE username='zhang3\' OR 1=1 #' 
AND password = 'abc123' 
LIMIT 0,1 
SELECT * FROM tbl_users 
WHERE username='zhang3 \' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #' 
AND password = 'abc123' LIMIT 0,1

二. magic_quotes_gpc = On 时的注入攻击

当 magic_quotes_gpc = On 时,攻击者无法对字符型的字段进行 SQL 注入。这并不代表这就安全了。这时,可以通过数值型的字段进行SQL注入。

在最新版的 MYSQL 5.x 中,已经严格了数据类型的输入,已默认关闭自动类型转换。数值型的字段,不能是引号标记的字符型。也就是说,假设 uid 是数值型的,在以前的 mysql 版本中,这样的语句是合法的:

INSERT INTO tbl_user SET uid="1"; 
SELECT * FROM tbl_user WHERE uid="1";

在最新的 MYSQL 5.x 中,上面的语句不是合法的,必须写成这样:
INSERT INTO tbl_user SET uid=1; 
SELECT * FROM tbl_user WHERE uid=1;

这样我认为是正确的。因为作为开发者,向数据库提交正确的符合规则的数据类型,这是最基本的要求。

那么攻击者在 magic_quotes_gpc = On 时,他们怎么攻击呢?很简单,就是对数值型的字段进行 SQL 注入。以下列的 php 脚本为例:

<? 
if ( isset($_POST["f_login"] ) ) 
{ 
// 连接数据库... 
// ...代码略... 
// 检查用户是否存在 
$t_strUid = $_POST["f_uid"]; 
$t_strPwd = $_POST["f_pwd"]; 
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1"; 
if ( $t_hRes = mysql_query($t_strSQL) ) 
{ 
// 成功查询之后的处理. 略... 
} 
} 
?> 
<html><head><title>sample test</title></head> 
<body> 
<form method=post action=""> 
User ID: <input type="text" name="f_uid" size=30><br> 
Password: <input type=text name="f_pwd" size=30><br> 
<input type="submit" name="f_login" value="登录"> 
</form> 
</body>

上面这段脚本要求用户输入 userid 和 password 登入。一个正常的语句,用户输入 1001和abc123,提交的 sql 语句如下:
SELECT * FROM tbl_users WHERE userid=1001 AND password = 'abc123' LIMIT 0,1

如果攻击者在 userid 处,输入:1001 OR 1 =1 #,则注入的sql语句如下:
SELECT * FROM tbl_users WHERE userid=1001 OR 1 =1 # AND password = 'abc123' LIMIT 0,1

攻击者达到了目的。
 三. 如何防止 PHP SQL 注入攻击

如何防止 php sql 注入攻击?我认为最重要的一点,就是要对数据类型进行检查和转义。总结的几点规则如下:
php.ini 中的 display_errors 选项,应该设为 display_errors = off。这样 php 脚本出错之后,不会在 web 页面输出错误,以免让攻击者分析出有作的信息。
调用 mysql_query 等 mysql 函数时,前面应该加上 @,即 @mysql_query(...),这样 mysql 错误不会被输出。同理以免让攻击者分析出有用的信息。另外,有些程序员在做开发时,当 mysql_query出错时,习惯输出错误以及 sql 语句,例如:

$t_strSQL = "SELECT a from b...."; 
if ( mysql_query($t_strSQL) ) 
{ 
// 正确的处理 
} 
else 
{ 
echo "错误! SQL 语句:$t_strSQL \r\n错误信息".mysql_query(); 
exit; 
}

这种做法是相当危险和愚蠢的。如果一定要这么做,最好在网站的配置文件中,设一个全局变量或定义一个宏,设一下 debug 标志:
全局配置文件中: 
define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE 
//调用脚本中: 
$t_strSQL = "SELECT a from b...."; 
if ( mysql_query($t_strSQL) ) 
{ 
// 正确的处理 
} 
else 
{ 
if (DEBUG_MODE) 
echo "错误! SQL 语句:$t_strSQL \r\n错误信息".mysql_query(); 
exit; 
}

对提交的 sql 语句,进行转义和类型检查。
 四. 我写的一个安全参数获取函数

为了防止用户的错误数据和 php + mysql 注入 ,我写了一个函数 PAPI_GetSafeParam(),用来获取安全的参数值:

define("XH_PARAM_INT",0); 
define("XH_PARAM_TXT",1); 
function PAPI_GetSafeParam($pi_strName, $pi_Def = "", $pi_iType = XH_PARAM_TXT) 
{ 
if ( isset($_GET[$pi_strName]) ) 
$t_Val = trim($_GET[$pi_strName]); 
else if ( isset($_POST[$pi_strName])) 
$t_Val = trim($_POST[$pi_strName]); 
else 
return $pi_Def; 
// INT 
if ( XH_PARAM_INT == $pi_iType) 
{ 
if (is_numeric($t_Val)) 
return $t_Val; 
else 
return $pi_Def; 
} 
// String 
$t_Val = str_replace("&", "&",$t_Val); 
$t_Val = str_replace("<", "<",$t_Val); 
$t_Val = str_replace(">", ">",$t_Val); 
if ( get_magic_quotes_gpc() ) 
{ 
$t_Val = str_replace("\\\"", """,$t_Val); 
$t_Val = str_replace("\\''", "'",$t_Val); 
} 
else 
{ 
$t_Val = str_replace("\"", """,$t_Val); 
$t_Val = str_replace("'", "'",$t_Val); 
} 
return $t_Val; 
}

在这个函数中,有三个参数:
$pi_strName: 变量名 
$pi_Def: 默认值 
$pi_iType: 数据类型。取值为 XH_PARAM_INT, XH_PARAM_TXT, 分别表示数值型和文本型。

如果请求是数值型,那么调用 is_numeric() 判断是否为数值。如果不是,则返回程序指定的默认值。

简单起见,对于文本串,我将用户输入的所有危险字符(包括HTML代码),全部转义。由于 php 函数 addslashes()存在漏洞,我用 str_replace()直接替换。get_magic_quotes_gpc() 函数是 php 的函数,用来判断 magic_quotes_gpc 选项是否打开。

刚才第二节的示例,代码可以这样调用:

<? 
if ( isset($_POST["f_login"] ) ) 
{ 
// 连接数据库... 
// ...代码略... 
// 检查用户是否存在 
$t_strUid = PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT); 
$t_strPwd = PAPI_GetSafeParam("f_pwd", "", XH_PARAM_TXT); 
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1"; 
if ( $t_hRes = mysql_query($t_strSQL) ) 
{ 
// 成功查询之后的处理. 略... 
} 
} 
?>

这样的话,就已经相当安全了。PAPI_GetSafeParam的代码有点长,但牺牲这点效率,对保证安全,是值得的。希望大家多批评指正。:)
PHP 相关文章推荐
利用PHP实现与ASP Banner组件相似的类
Oct 09 PHP
获取PHP警告错误信息的解决方法
Jun 03 PHP
采用thinkphp自带方法生成静态html文件详解
Jun 13 PHP
PHPer 需要了解的 5 个 Composer 小技巧
Aug 18 PHP
php构造函数的继承方法
Feb 09 PHP
THINKPHP支持YAML配置文件的设置方法
Mar 17 PHP
smarty模板数学运算示例
Dec 11 PHP
PHP文件管理之实现网盘及压缩包的功能操作
Sep 20 PHP
PHP完全二叉树定义与实现方法示例
Oct 09 PHP
php报错502badgateway解决方法
Oct 11 PHP
php设计模式之职责链模式实例分析【星际争霸游戏案例】
Mar 27 PHP
php模拟post提交请求调用接口示例解析
Aug 07 PHP
php5 apache 2.2 webservice 创建与配置(java)
Jan 27 #PHP
使用XDebug调试及单元测试覆盖率分析
Jan 27 #PHP
仿AS3实现PHP 事件机制实现代码
Jan 27 #PHP
PHP 命名空间实例说明
Jan 27 #PHP
PHP中利用substr_replace将指定两位置之间的字符替换为*号
Jan 27 #PHP
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
Jan 27 #PHP
PHP中通过加号合并数组的一个简单方法分享
Jan 27 #PHP
You might like
查找mysql字段中固定字符串并替换的几个方法
2012/09/23 PHP
php读取二进制流(C语言结构体struct数据文件)的深入解析
2013/06/13 PHP
PHP微信分享开发详解
2017/01/14 PHP
PHP实现PDO操作mysql存储过程示例
2019/02/13 PHP
Mootools 1.2教程 函数
2009/09/15 Javascript
js触发asp.net的Button的Onclick事件应用
2013/02/02 Javascript
jQuery 获取浏览器所在的IP地址的小例子
2013/11/08 Javascript
js QQ客服悬浮效果实现代码
2014/12/12 Javascript
IE7浏览器窗口大小改变事件执行多次bug及IE6/IE7/IE8下resize问题
2015/08/21 Javascript
form表单序列化详解(推荐)
2017/08/15 Javascript
Vue2.0中集成UEditor富文本编辑器的方法
2018/03/03 Javascript
分享vue里swiper的一些坑
2018/08/30 Javascript
基于vue-router 多级路由redirect 重定向的问题
2018/09/03 Javascript
微信小程序自定义多列选择器使用详解
2019/06/21 Javascript
vue 内联样式style中的background用法说明
2020/08/05 Javascript
[48:05]2018DOTA2亚洲邀请赛 3.31 小组赛 B组 VGJ.T vs VP
2018/03/31 DOTA
python机器学习理论与实战(二)决策树
2018/01/19 Python
python如何为被装饰的函数保留元数据
2018/03/21 Python
python实现雨滴下落到地面效果
2018/06/21 Python
Python3实现统计单词表中每个字母出现频率的方法示例
2019/01/28 Python
scrapy-redis的安装部署步骤讲解
2019/02/27 Python
python实现邮件自动发送
2019/08/10 Python
使用pymysql查询数据库,把结果保存为列表并获取指定元素下标实例
2020/05/15 Python
详解使用CSS3的@media来编写响应式的页面
2017/11/01 HTML / CSS
深入理解css属性的选择对动画性能的影响
2016/04/20 HTML / CSS
5个你不知道的HTML5的接口介绍
2013/08/07 HTML / CSS
浅谈HTML5 &amp; CSS3的新交互特性
2016/07/19 HTML / CSS
丝绸和人造花卉、植物和树木:Nearly Natural
2018/11/28 全球购物
澳大利亚波希米亚风时尚品牌:Tree of Life
2019/09/15 全球购物
促销活动总结
2014/04/28 职场文书
店铺转让协议书(2014版)
2014/09/23 职场文书
2014年移动公司工作总结
2014/12/08 职场文书
优秀班集体申报材料
2014/12/25 职场文书
第一节英语课开场白
2015/06/01 职场文书
周末问候语大全
2015/11/10 职场文书
MySQL 外键约束和表关系相关总结
2021/06/20 MySQL