首页 php教程 php手册 php sql注入与防注入经典案例分析

php sql注入与防注入经典案例分析

May 25, 2016 pm 04:40 PM
php php防注入 sql注入

对于sql注入与防注入其实就是一个攻与防的,今天我们要告诉大家最基本的注入和防止方法,原理都是利用了php或mysql的一些特性而我们没注意所造成的.

一个简单的SQL注入攻击案例

假如我们有一个公司网站,在网站的后台数据库中保存了所有的客户数据等重要信息,假如网站登录页面的代码中有这样一条命令来读取用户信息,代码如下:

<?php
$q = "SELECT `id` FROM `users` WHERE `username`= &#39; " . $_GET[&#39;username&#39;] . " &#39; AND `password`= &#39; " . $_GET[&#39;password&#39;] . " &#39; ";
?>
登录后复制

现在有一个黑客想攻击你的数据库,他会尝试在此登录页面的用户名的输入框中输入以下代码:;SHOW TABLES;点击登陆键,这个页面就会显示出数据库中的所有表,如果他现在使用下面这行命令:;DROP TABLE [table name];这样他就把一张表删除了.

当然,这只是一个很简单的例子,实际的SQL注入方法比这个要复杂得多,黑客也愿意花大量的时间来不断尝试来攻击你的代码,有一些程序软件也可以自动地来不断尝试SQL注入攻击,了解了SQL注入的攻击原理后,我们来看一下如何防范SQL注入攻击.

magic_quotes_gpc = On 时的注入攻击

当 magic_quotes_gpc = On 时,攻击者无法对字符型的字段进行 SQL 注入,这并不代表这就安全了,这时,可以通过数值型的字段进行SQL注入.

在最新版的 MYSQL 5.x 中,已经严格了数据类型的输入,已默认关闭自动类型转换。数值型的字段,不能是引号标记的字符型。也就是说,假设 uid 是数值型的,在以前的 mysql 版本中,这样的语句是合法的,代码如下:

INSERT INTO tbl_user SET uid="1";SELECT * FROM tbl_user WHERE uid="1";

在最新的 MYSQL 5.x 中,上面的语句不是合法的,必须写成这样,代码如下:

INSERT INTO tbl_user SET uid=1;SELECT * FROM tbl_user WHERE uid=1;

这样我认为是正确的,因为作为开发者,向数据库提交正确的符合规则的数据类型,这是最基本的要求.

那么攻击者在 magic_quotes_gpc = On 时,他们怎么攻击呢?很简单,就是对数值型的字段进行 SQL 注入,以下列的 php 脚本为例,代码如下:

<?php
if (isset($_POST["f_login"])) {
    // 连接数据库...
    // ...代码略...
    // 检查用户是否存在
    $t_strUid = $_POST["f_uid"];
    $t_strPwd = $_POST["f_pwd"];
    $t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = &#39;$t_strPwd&#39; LIMIT 0,1";
    if ($t_hRes = mysql_query($t_strSQL)) {
        // 成功查询之后的处理. 略...
        
    }
}
?> 
<html><head><title>sample test</title></head> 
<body> 
<form method=post action=""> 
  User ID: <input type="text" name="f_uid" size=30><br> 
 
  Password: <input type=text name="f_pwd" size=30><br> 
  <input type="submit" name="f_login" value="登录"> 
</form> 
</body>
登录后复制

上面这段脚本要求用户输入 userid 和 password 登入,一个正常的语句,用户输入 1001和abc123,提交的 sql 语句如下:

SELECT * FROM tbl_users WHERE userid=1001 AND password = 'abc123' LIMIT 0,1

如果攻击者在 userid 处,输入:1001 OR 1 =1 #,则注入的sql语句如下:

SELECT * FROM tbl_users WHERE userid=1001 OR 1 =1 # AND password = 'abc123' LIMIT 0,1,攻击者达到了目的.

防范SQL注入 - 使用mysql_real_escape_string()函数,在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉,如引号等,如下例:

<?php
$q = "SELECT `id` FROM `users` WHERE `username`= &#39; " . mysql_real_escape_string($_GET[&#39;username&#39;]) . " &#39; AND `password`= &#39; " . mysql_real_escape_string($_GET[&#39;password&#39;]) . " &#39; ";
?>
登录后复制

防范SQL注入 - 使用mysql_query()函数

mysql_query()的特别是它将只执行SQL代码的第一条,而后面的并不会执行,回想在最前面的例子中,黑客通过代码来例后台执行了多条SQL命令,显示出了所有表的名称,所以mysql_query()函数可以取到进一步保护的作用,我们进一步演化刚才的代码就得到了下面的代码:

<?php
//connection
$database = mysql_connect("localhost", "username", "password");
//db selection
mysql_select_db("database", $database);
$q = mysql_query("SELECT `id` FROM `users` WHERE `username`= &#39; " . mysql_real_escape_string($_GET[&#39;username&#39;]) . " &#39; AND `password`= &#39; " . mysql_real_escape_string($_GET[&#39;password&#39;]) . " &#39; ", $database);
?>
登录后复制

除此之外,我们还可以在PHP代码中判断输入值的长度,或者专门用一个函数来检查输入的值,所以在接受用户输入值的地方一定要做好输入内容的过滤和检查,当然学习和了解最新的SQL注入方式也非常重要,这样才能做到有目的的防范,如果使用的是平台式的网站系统如Wordpress,要注意及时打上官方的补丁或升级到新的版本,如果有讲得不对的地方或不理解的请在评论区留言.

php.ini 中的 display_errors 选项,应该设为 display_errors = off,这样 php 脚本出错之后,不会在 web 页面输出错误,以免让攻击者分析出有作的信息.

调用 mysql_query 等 mysql 函数时,前面应该加上 @,即 @mysql_query(...),这样 mysql 错误不会被输出,同理以免让攻击者分析出有用的信息,另外,有些程序员在做开发时,当 mysql_query出错时,习惯输出错误以及 sql 语句,代码如下:

<?php
$t_strSQL = "SELECT a from b....";
if (mysql_query($t_strSQL)) {
    // 正确的处理
    
} else {
    echo "错误! SQL 语句:$t_strSQL \r\n错误信息" . mysql_query();
    exit;
}
?>
登录后复制

这种做法是相当危险和愚蠢的,如果一定要这么做,最好在网站的配置文件中,设一个全局变量或定义一个宏,设一下 debug 标志.

全局配置文件中,代码如下:

define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE

调用脚本中,代码如下:

<?php
$t_strSQL = "SELECT a from b....";
if (mysql_query($t_strSQL)) {
    // 正确的处理
    
} else {
    if (DEBUG_MODE) echo "错误! SQL 语句:$t_strSQL \r\n错误信息" . mysql_query();
    exit;
}
?>
登录后复制


永久链接:

转载随意!带上文章地址吧。

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
2 周前 By 尊渡假赌尊渡假赌尊渡假赌
仓库:如何复兴队友
4 周前 By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island冒险:如何获得巨型种子
4 周前 By 尊渡假赌尊渡假赌尊渡假赌

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

CakePHP 项目配置 CakePHP 项目配置 Sep 10, 2024 pm 05:25 PM

在本章中,我们将了解CakePHP中的环境变量、常规配置、数据库配置和电子邮件配置。

适用于 Ubuntu 和 Debian 的 PHP 8.4 安装和升级指南 适用于 Ubuntu 和 Debian 的 PHP 8.4 安装和升级指南 Dec 24, 2024 pm 04:42 PM

PHP 8.4 带来了多项新功能、安全性改进和性能改进,同时弃用和删除了大量功能。 本指南介绍了如何在 Ubuntu、Debian 或其衍生版本上安装 PHP 8.4 或升级到 PHP 8.4

CakePHP 日期和时间 CakePHP 日期和时间 Sep 10, 2024 pm 05:27 PM

为了在 cakephp4 中处理日期和时间,我们将使用可用的 FrozenTime 类。

CakePHP 文件上传 CakePHP 文件上传 Sep 10, 2024 pm 05:27 PM

为了进行文件上传,我们将使用表单助手。这是文件上传的示例。

CakePHP 路由 CakePHP 路由 Sep 10, 2024 pm 05:25 PM

在本章中,我们将学习以下与路由相关的主题?

讨论 CakePHP 讨论 CakePHP Sep 10, 2024 pm 05:28 PM

CakePHP 是 PHP 的开源框架。它的目的是使应用程序的开发、部署和维护变得更加容易。 CakePHP 基于类似 MVC 的架构,功能强大且易于掌握。模型、视图和控制器 gu

如何设置 Visual Studio Code (VS Code) 进行 PHP 开发 如何设置 Visual Studio Code (VS Code) 进行 PHP 开发 Dec 20, 2024 am 11:31 AM

Visual Studio Code,也称为 VS Code,是一个免费的源代码编辑器 - 或集成开发环境 (IDE) - 可用于所有主要操作系统。 VS Code 拥有针对多种编程语言的大量扩展,可以轻松编写

CakePHP 创建验证器 CakePHP 创建验证器 Sep 10, 2024 pm 05:26 PM

可以通过在控制器中添加以下两行来创建验证器。

See all articles