在PHP中全面阻止SQL注入式攻擊
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
一、 注入式攻擊的類(lèi)型 可能存在許多不同類(lèi)型的攻擊動(dòng)機(jī),但是乍看上去,似乎存在更多的類(lèi)型。這是非常真實(shí)的-如果惡意用戶(hù)發(fā)現(xiàn)了一個(gè)能夠執(zhí)行多個(gè)查詢(xún)的辦法的話(huà)。 如果你的腳本正在執(zhí)行一個(gè)SELECT指令,那么,攻擊者可以強(qiáng)迫顯示一個(gè)表格中的每一行記錄-通過(guò)把一個(gè)例如"1=1"這樣的條件注入到WHERE子句中,如下所示(其中,注入部分以粗體顯示): SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;' 正如我們?cè)谇懊嫠懻摰模@本身可能是很有用的信息,因?yàn)樗沂玖嗽摫砀竦囊话憬Y(jié)構(gòu)(這是一條普通的記錄所不能實(shí)現(xiàn)的),以及潛在地顯示包含機(jī)密信息的記錄。 一條更新指令潛在地具有更直接的威脅。通過(guò)把其它屬性放到SET子句中,一名攻擊者可以修改當(dāng)前被更新的記錄中的任何字段,例如下面的例子(其中,注入部分以粗體顯示): UPDATE wines SET type='red','vintage'='9999' WHERE variety = 'lagrein' 通過(guò)把一個(gè)例如1=1這樣的恒真條件添加到一條更新指令的WHERE子句中,這種修改范圍可以擴(kuò)展到每一條記錄,例如下面的例子(其中,注入部分以粗體顯示): UPDATE wines SET type='red','vintage'='9999 WHERE variety = 'lagrein' OR 1=1;' 最危險(xiǎn)的指令可能是DELETE-這是不難想像的。其注入技術(shù)與我們已經(jīng)看到的相同-通過(guò)修改WHERE子句來(lái)擴(kuò)展受影響的記錄的范圍,例如下面的例子(其中,注入部分以粗體顯示): DELETE FROM wines WHERE variety = 'lagrein' OR 1=1;' 二、 多個(gè)查詢(xún)注入 多個(gè)查詢(xún)注入將會(huì)加劇一個(gè)攻擊者可能引起的潛在的損壞-通過(guò)允許多條破壞性指令包括在一個(gè)查詢(xún)中。在使用MySQL數(shù)據(jù)庫(kù)時(shí),攻擊者通過(guò)把一個(gè)出乎意料之外的終止符插入到查詢(xún)中即可很容易實(shí)現(xiàn)這一點(diǎn)-此時(shí)一個(gè)注入的引號(hào)(單引號(hào)或雙引號(hào))標(biāo)記期望變量的結(jié)尾;然后使用一個(gè)分號(hào)終止該指令。現(xiàn)在,一個(gè)另外的攻擊指令可能被添加到現(xiàn)在終止的原始指令的結(jié)尾。最終的破壞性查詢(xún)可能看起來(lái)如下所示: SELECT * FROM wines WHERE variety = 'lagrein';
至于這樣的一個(gè)多查詢(xún)是否會(huì)被MySQL服務(wù)器處理,結(jié)論并不唯一。這其中的一些原因可能是由于不同版本的MySQL所致,但是大多數(shù)情況卻是由于多查詢(xún)存在的方式所致。 MySQL的監(jiān)視程序完全允許這樣的一個(gè)查詢(xún)。常用的MySQL GUI-phpMyAdmin,在最終查詢(xún)之前會(huì)復(fù)制出以前所有的內(nèi)容,并且僅僅這樣做。 但是,大多數(shù)的在一個(gè)注入上下文中的多查詢(xún)都是由PHP的mysql擴(kuò)展負(fù)責(zé)管理的。幸好,默認(rèn)情況下,它是不允許在一個(gè)查詢(xún)中執(zhí)行多個(gè)指令的;試圖執(zhí)行兩個(gè)指令(例如上面所示的注入)將會(huì)簡(jiǎn)單地導(dǎo)致失敗-不設(shè)置任何錯(cuò)誤,并且沒(méi)有生成任何輸出信息。在這種情況下,盡管PHP也只是"規(guī)規(guī)矩矩"地實(shí)現(xiàn)其缺省行為,但是確實(shí)能夠保護(hù)你免于大多數(shù)簡(jiǎn)單的注入式攻擊。 PHP5中的新的mysqli擴(kuò)展(參考http://php.net/mysqli),就象mysql一樣,內(nèi)在地也不支持多個(gè)查詢(xún),不過(guò)卻提供了一個(gè)mysqli_multi_query()函數(shù)以支持你實(shí)現(xiàn)多查詢(xún)-如果你確實(shí)想這樣做的話(huà)。 然而,對(duì)于SQLite-與PHP5綁定到一起的可嵌入的SQL數(shù)據(jù)庫(kù)引擎(參考http://sqlite.org/和http: //php.net/sqlite)情況更為可怕,由于其易于使用而吸引了大量用戶(hù)的關(guān)注。在有些情況下,SQLite缺省地允許這樣的多指令查詢(xún),因?yàn)樵摂?shù)據(jù)庫(kù)可以?xún)?yōu)化批查詢(xún),特別是非常有效的批INSERT語(yǔ)句處理。然而,如果查詢(xún)的結(jié)果為你的腳本所使用的話(huà)(例如在使用一個(gè)SELECT語(yǔ)句檢索記錄的情況下),sqlite_query()函數(shù)卻不會(huì)允許執(zhí)行多個(gè)查詢(xún)。 三、 INVISION Power BOARD SQL注入脆弱性 Invision Power Board是一個(gè)著名的論壇系統(tǒng)。2005年五月6號(hào),在登錄代碼中發(fā)現(xiàn)了一處SQL注入脆弱性。其發(fā)現(xiàn)者為GulfTech Security Research的James Bercegay。 這個(gè)登錄查詢(xún)?nèi)缦滤荆?/P> $DB->query("SELECT * FROM ibf_members WHERE id=$mid AND password='$pid'"); 其中,成員ID變量$mid和口令I(lǐng)D變量$pid被使用下面兩行代碼從my_cookie()函數(shù)中檢索出: $mid = intval($std->my_getcookie('member_id')); 在此,my_cookie()函數(shù)使用下列語(yǔ)句從cookie中檢索要求的變量: return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]); 【注意】從該cookie返回的值根本沒(méi)有被處理。盡管$mid在使用于查詢(xún)之前被強(qiáng)制轉(zhuǎn)換成一個(gè)整數(shù),但是$pid卻保持不變。因此,它很容易遭受我們前面所討論的注入類(lèi)型的攻擊。 因此,通過(guò)以如下方式修改my_cookie()函數(shù),這種脆弱性就會(huì)暴露出來(lái): if ( ! in_array( $name,array('topicsread', 'forum_read','collapseprefs') ) ) 經(jīng)過(guò)這樣的改正之后,其中的關(guān)鍵變量在"通過(guò)"全局clean_value()函數(shù)后被返回,而其它變量卻未進(jìn)行檢查。 現(xiàn)在,既然我們大致了解了什么是SQL注入,它的注入原理以及這種注入的脆弱程度,那么接下來(lái),讓我們探討如何有效地預(yù)防它。幸好,PHP為我們提供了豐富的資源,因此我們有充分的信心預(yù)言,一個(gè)經(jīng)仔細(xì)地徹底地使用我們所推薦的技術(shù)構(gòu)建的應(yīng)用程序?qū)?huì)從你的腳本中根本上消除任何可能性的SQL注入-通過(guò)在它可能造成任何損壞之前"清理"你的用戶(hù)的數(shù)據(jù)來(lái)實(shí)現(xiàn)。 該文章在 2012/4/26 10:45:22 編輯過(guò) |
關(guān)鍵字查詢(xún)
相關(guān)文章
正在查詢(xún)... 
|
400 186 1886
