电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

PHP安全-SQL 注入

瀏覽:110日期:2022-09-12 09:24:55
SQL 注入

SQL 注入是PHP應用中最常見的漏洞之一。事實上令人驚奇的是,開發者要同時犯兩個錯誤才會引發一個SQL注入漏洞,一個是沒有對輸入的數據進行過濾(過濾輸入),還有一個是沒有對發送到數據庫的數據進行轉義(轉義輸出)。這兩個重要的步驟缺一不可,需要同時加以特別關注以減少程序錯誤。

對于攻擊者來說,進行SQL注入攻擊需要思考和試驗,對數據庫方案進行有根有據的推理非常有必要(當然假設攻擊者看不到你的源程序和數據庫方案),考慮以下簡單的登錄表單:

CODE:

<form action='/login.php' method='POST'>

<p>Username: <input type='text' name='username' /></p>

<p>Password: <input type='password' name='password' /></p>

<p><input type='submit' value='Log In' /></p>

</form>

圖 3-1 給出了該表單在瀏覽器中的顯示。

作為一個攻擊者,他會從推測驗證用戶名和密碼的查詢語句開始。通過查看源文件,他就能開始猜測你的習慣。

圖 3-1. 登錄表單在瀏覽器中的顯示

命名習慣。通常會假設你表單中的字段名為與數據表中的字段名相同。當然,確保它們不同未必是一個可靠的安全措施。

第一次猜測,一般會使用下面例子中的查詢:

CODE:

<?php

$password_hash = md5($_POST[’password’]);

$sql = 'SELECT count(*)

FROM users

WHERE username = ’{$_POST[’username’]}’

AND password = ’$password_hash’';

?>

使用用戶密碼的MD5值原來是一個通行的做法,但現在并不是特別安全了。最近的研究表明MD5算法有缺陷,而且大量MD5數據庫降低了MD5反向破解的難度。請訪問http://md5.rednoize.com/ 查看演示。

譯注:原文如此,山東大學教授王小云的研究表明可以很快的找到MD5的“碰撞”,就是可以產生相同的MD5值的不同兩個文件和字串。MD5是信息摘要算法,而不是加密算法,反向破解也就無從談起了。不過根據這個成果,在上面的特例中,直接使用md5是危險的。

最好的保護方法是在密碼上附加一個你自己定義的字符串,例如:

CODE:

<?php

$salt = ’SHIFLETT’;

$password_hash = md5($salt . md5($_POST[’password’] . $salt));

?>

當然,攻擊者未必在第一次就能猜中,他們常常還需要做一些試驗。有一個比較好的試驗方式是把單引號作為用戶名錄入,原因是這樣可能會暴露一些重要信息。有很多開發人員在Mysql語句執行出錯時會調用函數mysql_error()來報告錯誤。見下面的例子:

CODE:

<?php

mysql_query($sql) or exit(mysql_error());

?>

雖然該方法在開發中十分有用,但它能向攻擊者暴露重要信息。如果攻擊者把單引號做為用戶名,mypass做為密碼,查詢語句就會變成:

CODE:

<?php

$sql = 'SELECT *

FROM users

WHERE username = ’’’

AND password = ’a029d0df84eb5549c641e04a9ef389e5’';

?>

當該語句發送到MySQL后,系統就會顯示如下錯誤信息:

You have an error in your SQL syntax. Check the manual that corresponds to your

MySQL server version for the right syntax to use near ’WHERE username = ’’’ AND

password = ’a029d0df84eb55

不費吹灰之力,攻擊者已經知道了兩個字段名(username和password)以及他們出現在查詢中的順序。除此以外,攻擊者還知道了數據沒有正確進行過濾(程序沒有提示非法用戶名)和轉義(出現了數據庫錯誤),同時整個WHERE條件的格式也暴露了,這樣,攻擊者就可以嘗試操縱符合查詢的記錄了。

在這一點上,攻擊者有很多選擇。一是嘗試填入一個特殊的用戶名,以使查詢無論用戶名密碼是否符合,都能得到匹配:

myuser’ or ’foo’ = ’foo’ --

假定將mypass作為密碼,整個查詢就會變成:

CODE:

<?php

$sql = 'SELECT *

FROM users

WHERE username = ’myuser’ or ’foo’ = ’foo’ --

AND password = ’a029d0df84eb5549c641e04a9ef389e5’';

?>

由于中間插入了一個SQL注釋標記,所以查詢語句會在此中斷。這就允許了一個攻擊者在不知道任何合法用戶名和密碼的情況下登錄。

如果知道合法的用戶名,攻擊者就可以該用戶(如chris)身份登錄:

chris’ --

只要chris是合法的用戶名,攻擊者就可以控制該帳號。原因是查詢變成了下面的樣子:

CODE:

<?php

$sql = 'SELECT *

FROM users

WHERE username = ’chris’ --

AND password = ’a029d0df84eb5549c641e04a9ef389e5’';

?>

幸運的是,SQL注入是很容易避免的。正如第一章所提及的,你必須堅持過濾輸入和轉義輸出。

雖然兩個步驟都不能省略,但只要實現其中的一個就能消除大多數的SQL注入風險。如果你只是過濾輸入而沒有轉義輸出,你很可能會遇到數據庫錯誤(合法的數據也可能影響SQL查詢的正確格式),但這也不可靠,合法的數據還可能改變SQL語句的行為。另一方面,如果你轉義了輸出,而沒有過濾輸入,就能保證數據不會影響SQL語句的格式,同時也防止了多種常見SQL注入攻擊的方法。

當然,還是要堅持同時使用這兩個步驟。過濾輸入的方式完全取決于輸入數據的類型(見第一章的示例),但轉義用于向數據庫發送的輸出數據只要使用同一個函數即可。對于MySQL用戶,可以使用函數mysql_real_escape_string( ):

CODE:

<?php

$clean = array();

$mysql = array();

$clean[’last_name’] = 'O’Reilly';

$mysql[’last_name’] = mysql_real_escape_string($clean[’last_name’]);

$sql = 'INSERT

INTO user (last_name)

VALUES (’{$mysql[’last_name’]}’)';

?>

盡量使用為你的數據庫設計的轉義函數。如果沒有,使用函數addslashes( )是最終的比較好的方法。

當所有用于建立一個SQL語句的數據被正確過濾和轉義時,實際上也就避免了SQL注入的風險。

CODE:

如果你正在使用支持參數化查詢語句和占位符的數據庫操作類(如PEAR::DB, PDO等),你就會多得到一層保護。見下面的使用PEAR::DB的例子:

CODE:

<?php

$sql = ’INSERT

INTO user (last_name)

VALUES (?)’;

$dbh->query($sql, array($clean[’last_name’]));

?>

CODE:

由于在上例中數據不能直接影響查詢語句的格式,SQL注入的風險就降低了。PEAR::DB會自動根據你的數據庫的要求進行轉義,所以你只需要過濾輸出即可。

如果你正在使用參數化查詢語句,輸入的內容就只會作為數據來處理。這樣就沒有必要進行轉義了,盡管你可能認為這是必要的一步(如果你希望堅持轉義輸出習慣的話)。實際上,這時是否轉義基本上不會產生影響,因為這時沒有特殊字符需要轉換。在防止SQL注入這一點上,參數化查詢語句為你的程序提供了強大的保護。

譯注:關于SQL注入,不得不說的是現在大多虛擬主機都會把magic_quotes_gpc選項打開,在這種情況下所有的客戶端GET和POST的數據都會自動進行addslashes處理,所以此時對字符串值的SQL注入是不可行的,但要防止對數字值的SQL注入,如用intval()等函數進行處理。但如果你編寫的是通用軟件,則需要讀取服務器的magic_quotes_gpc后進行相應處理。

標簽: PHP
相關文章:
主站蜘蛛池模板: 杭州月嫂技术培训服务公司-催乳师培训中心报名费用-产后康复师培训机构-杭州优贝姆健康管理有限公司 | 便携式XPDM露点仪-在线式防爆露点仪-增强型烟气分析仪-约克仪器 冰雕-冰雪世界-大型冰雕展制作公司-赛北冰雕官网 | 太原装修公司_山西整装家装设计_太原室内装潢软装_肖邦家居 | 耐火浇注料价格-高强高铝-刚玉碳化硅耐磨浇注料厂家【直销】 | 一体式钢筋扫描仪-楼板测厚仪-裂缝检测仪-泰仕特(北京) | 天津中都白癜风医院_天津白癜风医院_天津治疗白癜风 | 超声波反应釜【百科】-以马内利仪器| 花纹铝板,合金铝卷板,阴极铝板-济南恒诚铝业有限公司 | 一氧化氮泄露报警器,二甲苯浓度超标报警器-郑州汇瑞埔电子技术有限公司 | GEDORE扭力螺丝刀-GORDON防静电刷-CHEMTRONICS吸锡线-上海卓君电子有限公司 | 泰兴市热钻机械有限公司-热熔钻孔机-数控热熔钻-热熔钻孔攻牙一体机 | 十二星座查询(性格特点分析、星座运势解读) - 玄米星座网 | 并网柜,汇流箱,电控设备,中高低压开关柜,电气电力成套设备,PLC控制设备订制厂家,江苏昌伟业新能源科技有限公司 | 数控走心机-走心机价格-双主轴走心机-宝宇百科 | 东莞市踏板石餐饮管理有限公司_正宗桂林米粉_正宗桂林米粉加盟_桂林米粉加盟费-东莞市棒子桂林米粉 | 成都APP开发-成都App定制-成都app开发公司-【未来久】 | 拼装地板,悬浮地板厂家,悬浮式拼装运动地板-石家庄博超地板科技有限公司 | 瓶盖扭矩仪(扭力值检测)-百科| 滚珠丝杆升降机_螺旋升降机_丝杠升降机-德迈传动 | 在线PH计-氧化锆分析仪-在线浊度仪-在线溶氧仪- 无锡朝达 | 济南电缆桥架|山东桥架-济南航丰实业有限公司 | 政府回应:200块在义乌小巷能买到爱情吗?——揭秘打工族省钱约会的生存智慧 | 拉力机-万能试验机-材料拉伸试验机-电子拉力机-拉力试验机厂家-冲击试验机-苏州皖仪实验仪器有限公司 | 玉米深加工设备|玉米加工机械|玉米加工设备|玉米深加工机械-河南成立粮油机械有限公司 | 耐火浇注料价格-高强高铝-刚玉碳化硅耐磨浇注料厂家【直销】 | 变色龙云 - 打包app_原生app_在线制作平台_短链接_ip查询 | 三氯异氰尿酸-二氯-三氯-二氯异氰尿酸钠-优氯净-强氯精-消毒片-济南中北_优氯净厂家 | 微妙网,专业的动画师、特效师、CG模型设计师网站! - wmiao.com 超声波电磁流量计-液位计-孔板流量计-料位计-江苏信仪自动化仪表有限公司 | 重庆轻质隔墙板-重庆安吉升科技有限公司 | 无线对讲-无线对讲系统解决方案-重庆畅博通信| led冷热冲击试验箱_LED高低温冲击试验箱_老化试验箱-爱佩百科 | 工作心得_读书心得_学习心得_找心得体会范文就上学道文库 | 齿式联轴器-弹性联轴器-联轴器厂家-江苏诺兴传动联轴器制造有限公司 | 电池挤压试验机-自行车喷淋-车辆碾压试验装置-深圳德迈盛测控设备有限公司 | 东莞市超赞电子科技有限公司 全系列直插/贴片铝电解电容,电解电容,电容器 | 雄松华章(广州华章MBA)官网-专注MBA/MPA/MPAcc/MEM辅导培训 | Win10系统下载_32位/64位系统/专业版/纯净版下载 | 电磁流量计_智能防腐防爆管道式计量表-金湖凯铭仪表有限公司 | 全自动烧卖机厂家_饺子机_烧麦机价格_小笼汤包机_宁波江北阜欣食品机械有限公司 | 物联网卡_物联网卡购买平台_移动物联网卡办理_移动联通电信流量卡通信模组采购平台? | EFM 022静电场测试仪-套帽式风量计-静电平板监测器-上海民仪电子有限公司 |