PHP中防止SQL注入实现代码


Posted in PHP onFebruary 19, 2011

一、 注入式攻击的类型
可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。

果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示):
SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'

正如我们在前面所讨论的,这本身可能是很有用的信息,因为它揭示了该表格的一般结构(这是一条普通的记录所不能实现的),以及潜在地显示包含机密信息的记录。
一条更新指令潜在地具有更直接的威胁。通过把其它属性放到SET子句中,一名攻击者可以修改当前被更新的记录中的任何字段,例如下面的例子(其中,注入部分以粗体显示):
UPDATE wines SET type='red','vintage'='9999' WHERE variety = 'lagrein'

通过把一个例如1=1这样的恒真条件添加到一条更新指令的WHERE子句中,这种修改范围可以扩展到每一条记录,例如下面的例子(其中,注入部分以粗体显示):
UPDATE wines SET type='red','vintage'='9999 WHERE variety = 'lagrein' OR 1=1;'

最危险的指令可能是DELETE-这是不难想像的。其注入技术与我们已经看到的相同-通过修改WHERE子句来扩展受影响的记录的范围,例如下面的例子(其中,注入部分以粗体显示):
DELETE FROM wines WHERE variety = 'lagrein' OR 1=1;'

二、 多个查询注入
多个查询注入将会加剧一个攻击者可能引起的潜在的损坏-通过允许多条破坏性指令包括在一个查询中。在使用MySQL数据库时,攻击者通过把一个出乎意料之外的终止符插入到查询中即可很容易实现这一点-此时一个注入的引号(单引号或双引号)标记期望变量的结尾;然后使用一个分号终止该指令。现在,一个另外的攻击指令可能被添加到现在终止的原始指令的结尾。最终的破坏性查询可能看起来如下所示:

SELECT * FROM wines WHERE variety = 'lagrein'; 
GRANT ALL ON *.* TO 'BadGuy@%' IDENTIFIED BY 'gotcha';'

这个注入将创建一个新的用户BadGuy并赋予其网络特权(在所有的表格上具有所有的特权);其中,还有一个"不祥"的口令被加入到这个简单的SELECT语句中。如果你遵循我们在以前文章中的建议-严格限制该过程用户的特权,那么,这应该无法工作,因为web服务器守护程序不再拥有你撤回的GRANT特权。但是从理论上讲,这样的一个攻击可能给予BadGuy自由权力来实现他对你的数据库的任何操作。

至于这样的一个多查询是否会被MySQL服务器处理,结论并不唯一。这其中的一些原因可能是由于不同版本的MySQL所致,但是大多数情况却是由于多查询存在的方式所致。MySQL的监视程序完全允许这样的一个查询。常用的MySQL GUI-phpMyAdmin,在最终查询之前会复制出以前所有的内容,并且仅仅这样做。
但是,大多数的在一个注入上下文中的多查询都是由PHP的mysql扩展负责管理的。幸好,默认情况下,它是不允许在一个查询中执行多个指令的;试图执行两个指令(例如上面所示的注入)将会简单地导致失败-不设置任何错误,并且没有生成任何输出信息。在这种情况下,尽管PHP也只是"规规矩矩"地实现其缺省行为,但是确实能够保护你免于大多数简单的注入式攻击。
PHP5中的新的mysqli扩展(参考http://php.net/mysqli),就象mysql一样,内在地也不支持多个查询,不过却提供了一个mysqli_multi_query()函数以支持你实现多查询-如果你确实想这样做的话。
然而,对于SQLite-与PHP5绑定到一起的可嵌入的SQL数据库引擎(参考http://sqlite.org/和http://php.net/sqlite)情况更为可怕,由于其易于使用而吸引了大量用户的关注。在有些情况下,SQLite缺省地允许这样的多指令查询,因为该数据库可以优化批查询,特别是非常有效的批INSERT语句处理。然而,如果查询的结果为你的脚本所使用的话(例如在使用一个SELECT语句检索记录的情况下),sqlite_query()函数却不会允许执行多个查询。三、 INVISION Power BOARD SQL注入脆弱性
Invision Power Board是一个著名的论坛系统。2005年五月6号,在登录代码中发现了一处SQL注入脆弱性。其发现
者为GulfTech Security Research的James Bercegay。
这个登录查询如下所示:
$DB->query("SELECT * FROM ibf_members WHERE id=$mid AND password='$pid'");

其中,成员ID变量$mid和口令ID变量$pid被使用下面两行代码从my_cookie()函数中检索出:

$mid = intval($std->my_getcookie('member_id')); 
$pid = $std->my_getcookie('pass_hash');

在此,my_cookie()函数使用下列语句从cookie中检索要求的变量:
return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);

【注意】从该cookie返回的值根本没有被处理。尽管$mid在使用于查询之前被强制转换成一个整数,但是$pid却保持不变。因此,它很容易遭受我们前面所讨论的注入类型的攻击。
因此,通过以如下方式修改my_cookie()函数,这种脆弱性就会暴露出来:

if ( ! in_array( $name,array('topicsread', 'forum_read','collapseprefs') ) ) 
{ 
return $this-> 
clean_value(urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name])); 
} else 
{ 
return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]); 
}

经过这样的改正之后,其中的关键变量在"通过"全局clean_value()函数后被返回,而其它变量却未进行检查。
现在,既然我们大致了解了什么是SQL注入,它的注入原理以及这种注入的脆弱程度,那么接下来,让我们探讨如何有效地预防它。幸好,PHP为我们提供了丰富的资源,因此我们有充分的信心预言,一个经仔细地彻底地使用我们所推荐的技术构建的应用程序将会从你的脚本中根本上消除任何可能性的SQL注入-通过在它可能造成任何损坏之前"清理"你的用户的数据来实现。
四、 界定你的查询中的每一个值
我们推荐,你确保界定了你的查询中的每一个值。字符串值首当其冲,以及那些你通常期望应该使用"单"(而不是"双")引号的内容。一方面,如果你使用双引号来允许PHP在字符串内的变量替代,这样可以使得输入查询更为容易些;另一方面,这(无可否认,只是极少量地)也会减少以后PHP代码的分析工作。

下面,让我们使用我们一开始使用的那个非注入式查询来说明这个问题:
SELECT * FROM wines WHERE variety = 'lagrein'

或以PHP语句表达为:
$query = "SELECT * FROM wines WHERE variety = '$variety'";

从技术上讲,引号对于数字值来说是不需要使用的。但是,如果你并不介意用引号把例如葡萄酒这样的一个域相应的一个值括起来并且如果你的用户把一个空值输入到你的表单中的话,那么,你会看到一个类似下面的查询:
SELECT * FROM wines WHERE vintage =

当然,这个查询从语法上讲是无效的;但是,下面的语法却是有效的:
SELECT * FROM wines WHERE vintage = ''

第二个查询将(大概)不会返回任何果,但是至少它不会返回一个错误消息。
五、 检查用户提交的值的类型
从前面的讨论中我们看到,迄今为止,SQL注入的主要来源往往出在一个意料之外的表单入口上。然而,当你经由一个表单向用户提供机会提交某些值时,你应该有相当的优势来确
定你想取得什么样的输入内容-这可以使得我们比较容易地检查用户入口的有效性。在以前的文章中,我们已经讨论过这样的校验问题;所以,在此,我们仅简单地总结当时我们讨论的要点。如果你正在期望一个数字,那么你可以使用下面这些技术之一来确保你得到的真正是一个数字类型:

· 使用is_int()函数(或is_integer()或is_long())。

· 使用gettype()函数。

· 使用intval()函数。

· 使用settype()函数。
为了检查用户输入内容的长度,你可以使用strlen()函数。为了检查一个期望的时间或日期是否有效,你可以使用strtotime()函数。它几乎一定能够确保一位用户的入口中没有包含分号字符(除非标点符号可以被合法地包括在内)。你可以借助于strpos()函数容易地实现这一点,如下所示:

if( strpos( $variety, ';' ) ) exit ( "$variety is an invalid value for variety!" );

正如我们在前面所提到的,只要你仔细分析你的用户输入期望,那么,你应该能够很容易地检查出其中存在的许多问题。
六、 从你的查询中滤去每一个可疑字符
尽管在以前的文章中,我们已经讨论过如何过滤掉危险字符的问题;但是在此,还是让我们再次简单地强调并归纳一下这个问题:
· 不要使用magic_quotes_gpc指令或它的"幕后搭挡"-addslashes()函数,此函数在应用程序开发中是被限制使用的,并且此函数还要求使用额外的步骤-使用stripslashes()函数。
· 相比之下,mysql_real_escape_string()函数更为常用,但是也有它自己的缺点。

PHP 相关文章推荐
修改了一个很不错的php验证码(支持中文)
Feb 14 PHP
探讨php define()函数及defined()函数使用详解
Jun 09 PHP
php缓冲 output_buffering和ob_start使用介绍
Jan 30 PHP
php去除字符串换行符示例分享
Feb 13 PHP
PHP模拟asp.net的StringBuilder类实现方法
Aug 08 PHP
CentOS下PHP7的编译安装及MySQL的支持和一些常见问题的解决办法
Dec 17 PHP
PHP采用超长(超大)数字运算防止数字以科学计数法显示的方法
Apr 01 PHP
最新最全PHP生成制作验证码代码详解(推荐)
Jun 12 PHP
利用PHPExcel读取Excel的数据和导出数据到Excel
May 12 PHP
thinkphp ajaxfileupload实现异步上传图片的示例
Aug 28 PHP
PHP7扩展开发之基于函数方式使用lib库的方法详解
Jan 15 PHP
Laravel 类和接口注入相关的代码
Oct 15 PHP
简单的移动设备检测PHP脚本代码
Feb 19 #PHP
PHP下通过file_get_contents的代理使用方法
Feb 16 #PHP
php文件上传表单摘自drupal的代码
Feb 15 #PHP
php 连接mysql连接被重置的解决方法
Feb 15 #PHP
php中获取关键词及所属来源搜索引擎名称的代码
Feb 15 #PHP
php批量缩放图片的代码[ini参数控制]
Feb 11 #PHP
让PHP以ROOT权限执行系统命令的方法
Feb 10 #PHP
You might like
曾在DC漫画界反派角色扮演的演员,谁才是你心目中的小丑之王?
2020/04/09 欧美动漫
php 去除html标记--strip_tags与htmlspecialchars的区别详解
2013/06/26 PHP
Win7 64位系统下PHP连接Oracle数据库
2014/08/20 PHP
Windows下安装PHP单元测试环境PHPUnit图文教程
2014/10/24 PHP
Laravel中使用自己编写类库的3种方法
2015/02/10 PHP
基于ThinkPHP实现批量删除
2015/12/18 PHP
JS实现点击图片在当前页面放大并可关闭的漂亮效果
2013/10/18 Javascript
快速解决jquery之get缓存问题的最简单方法介绍
2013/12/19 Javascript
jquery实现平滑的二级下拉菜单效果
2015/08/26 Javascript
jquery转盘抽奖功能实现
2015/11/13 Javascript
js为什么不能正确处理小数运算?
2015/12/29 Javascript
BootStrap中的table实现数据填充与分页应用小结
2016/05/26 Javascript
HTML的select控件美化
2017/03/27 Javascript
jQuery自定义多选下拉框效果
2017/06/19 jQuery
Nodejs实现图片上传、压缩预览、定时删除功能
2019/10/25 NodeJs
JavaScript函数Call、Apply原理实例解析
2020/02/17 Javascript
[04:11]DOTA2上海特级锦标赛主赛事首日TOP10
2016/03/03 DOTA
Python操作Access数据库基本步骤分析
2016/09/19 Python
python3实现UDP协议的服务器和客户端
2017/06/14 Python
用python爬取租房网站信息的代码
2018/12/14 Python
PyQt5实现QLineEdit添加clicked信号的方法
2019/06/25 Python
浅谈tensorflow 中tf.concat()的使用
2020/02/07 Python
python实现根据给定坐标点生成多边形mask的例子
2020/02/18 Python
python 两个一样的字符串用==结果为false问题的解决
2020/03/12 Python
马克华菲官方商城:Mark Fairwhale
2016/09/04 全球购物
一份比较全的PHP面试题
2016/07/29 面试题
以思科路由器为例你写下单臂路由的配置命令
2013/08/03 面试题
吸烟检讨书2000字
2014/02/13 职场文书
基层党支部公开承诺书
2014/05/29 职场文书
学校安全教育月活动总结
2014/07/07 职场文书
市场营销毕业求职信
2014/08/07 职场文书
2014银行授权委托书样本
2014/10/04 职场文书
财务负责人岗位职责
2015/02/03 职场文书
详解CocosCreator消息分发机制
2021/04/16 Javascript
python用tkinter开发的扫雷游戏
2021/06/01 Python
JS的深浅复制详细
2021/10/16 Javascript