mysql中的0引发的安全风险_MySQL

bitsCN.com

menzhi007

mysql的比较运算，黑哥解释的很清楚，感谢下

http:///database/201003/45294.html

当mysql中执行where条件时 0可以作为通配符，来查询索引出数据。

mysql> select username from users where username=0 limit 1;
+----------+
| username |
+----------+
| admin    |
+----------+
1 row in set

早上又在同学机子上做了oracle和mssql 中的测试

比较不充分，比如应该拿字符串和数字比等等，大家自行测试下吧

Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Prod

MSSQL中

最终我们只能在mysql中测试成功

实例程序中遇到的问题，当直接访问控制器的的方法，尤其用户名密码未提交值，将默认提交“0”，最终将直接导致直接绕过验证。

users.php Controllers中的代码

/*修补后首页登录框*/
function ajax_login_back() {
   if($this->input->post(username)!="" && $this->input->post(password)!="") {//增加这句判断是否为空
    echo $this->users_model->verify_user($this->input->post(username),$this->input->post(password));
   } else {
    redirect(articles,refresh);
   }
}
//漏洞代码
function ajax_login() {
  echo $this->users_model->verify_user($this->input->post(username),$this->input->post(password));//漏洞代码
}

users_model.php Models中的代码

public function verify_user($username, $password) {
   $query = $this->db->where(username, $username);//
   //$query = $this->db->where(password is not null);
   $query = $this->db->where(password,$password);
   $query = $this->db->get(users, 1);
  
   if ($query->num_rows() == 1) {
    $row = $query->row_array();
    $data = array(
       uid => $row[uid],
       username => $row[username],
       level => $row[level],
       logged_in => TRUE
      );

    $this->session->set_userdata($data);
    return 1;
   } else {
    return NULL;
   }
}

前台 index.php Views中的代码

$.ui.dialog.defaults.bgiframe = true;

//$.post()方式：
$(document).ready(function () {

$(#loginsubmit).click(function (){
$.post(
   ,
    {
      username:$(#username).val(),
      password:$(#password).val()
    },
    function (data) {
   if(data==1) {
    location.reload();  
   } else {
    $(#dialog).dialog({
     autoOpen: true,
     width: 300,
     buttons: {
      "确定": function() {
       $(this).dialog("close");
       location.reload();
      },
      "取消": function() {
       $(this).dialog("close");
       location.reload();
      }
     }
    });
   }
    }
);
});
});

我们再来看看 mysql_driver.php 是如何定义的

function _execute($sql)
{ //echo $sql;输出sql 语句测试
   $sql = $this->_prep_query($sql);
   return @mysql_query($sql, $this->conn_id);
}

默认执行的是如下语句

很明显，直接执行了，基于框架的程序容易造成此类风险。

woyigui同学说的不加引号会报错，这个应该是个合理的解释吧。

最后再次感谢亲爱的黑哥。

bitsCN.com