PHP编程:PHP+SQL 注入进击的手艺完成和预防办...
熟悉了PHP和MYSQL开发的要领之后,再回头看你写的那个留言本,你也许会怀疑那真的是你写的吗?当然,如果屋里还有鬼的话,也许是它写的-_- 1. php 设置装备摆设文件 php.ini 中的 magic_quotes_gpc 选项没有翻开,被置为 off2. 开辟者没有对数据类型停止反省和本义
不外现实上,第二点最为主要。我以为, 对用户输出的数据类型停止反省,向 MYSQL 提交准确的数据类型,这应当是一个 web 法式员最最根基的本质。但实际中,经常有很多小白式的 Web 开辟者忘了这点, 从而招致后门大开。
为何说第二点最为主要?由于假如没有第二点的包管,magic_quotes_gpc 选项,不管为 on,仍是为 off,都有能够激发 SQL 注入进击。上面来看一下手艺完成:
一. magic_quotes_gpc = Off 时的注入进击
magic_quotes_gpc = Off 是 php 中一种十分不平安的选项。新版本的 php 已将默许的值改成了 On。但仍有相当多的办事器的选项为 off。究竟,再古玩的办事器也是有人用的。
当magic_quotes_gpc = On 时,它会将提交的变量中一切的 '(单引号)、"(双号号)、\(反斜线)、空白字符,都为在后面主动加上 \。上面是 php 的官方申明:
复制代码 代码以下:
magic_quotes_gpc boolean
Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When magic_quotes are on, all ' (single-quote), " (double quote), \ (backslash) and NUL's are escaped with a backslash automatically
假如没有本义,即 off 情形下,就会让进击者有隙可乘。以以下测试剧本为例:
复制代码 代码以下:
<?
if ( isset($_POST["f_login"] ) )
{
// 毗连数据库...
// ...代码略...
// 反省用户是不是存在
$t_strUname = $_POST["f_uname"];
$t_strPwd = $_POST["f_pwd"];
$t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";
if ( $t_hRes = mysql_query($t_strSQL) )
{
// 胜利查询以后的处置. 略...
}
}
?>
<html><head><title>sample test</title></head>
<body>
<form method=post action="">
Username: <input type="text" name="f_uname" size=30><br>
Password: <input type=text name="f_pwd" size=30><br>
<input type="submit" name="f_login" value="登录">
</form>
</body>
在这个剧本中,当用户输出正常的用户名和暗码,假定值分离为 zhang3、abc123,则提交的 SQL 语句以下:
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3' AND password = 'abc123' LIMIT 0,1
假如进击者在 username 字段中输出:zhang3' OR 1=1 #,在 password 输出 abc123,则提交的 SQL 语句酿成以下:
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3' OR 1=1 #' AND password = 'abc123' LIMIT 0,1
因为 # 是 mysql中的正文符, #以后的语句不被履行,完成上这行语句就成了:
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3' OR 1=1
如许进击者就能够绕过认证了。假如进击者晓得数据库布局,那末它构建一个 UNION SELECT,那就更风险了:
假定在 username 中输出:zhang3 ' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #
在password 输出: abc123,
则提交的 SQL 语句酿成:
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3 '
OR 1 =1 UNION select cola, colb,cold FROM tbl_b #' AND password = 'abc123' LIMIT 0,1
如许就相当风险了。假如agic_quotes_gpc选项为 on,引号被本义,则下面进击者构建的进击语句就会酿成如许,从而没法到达其目标:
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3\' OR 1=1 #'
AND password = 'abc123'
LIMIT 0,1
SELECT * FROM tbl_users
WHERE username='zhang3 \' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #'
AND password = 'abc123' LIMIT 0,1
二. magic_quotes_gpc = On 时的注入进击
当 magic_quotes_gpc = On 时,进击者没法对字符型的字段停止 SQL 注入。这其实不代表这就平安了。这时候,可以经由过程数值型的字段停止SQL注入。
在最新版的 MYSQL 5.x 中,已严厉了数据类型的输出,已默许封闭主动类型转换。数值型的字段,不克不及是引号标志的字符型。也就是说,假定 uid 是数值型的,在之前的 mysql 版本中,如许的语句是正当的:
复制代码 代码以下:
INSERT INTO tbl_user SET uid="1";
SELECT * FROM tbl_user WHERE uid="1";
在最新的 MYSQL 5.x 中,下面的语句不是正当的,必需写成如许:
复制代码 代码以下:
INSERT INTO tbl_user SET uid=1;
SELECT * FROM tbl_user WHERE uid=1;
如许我以为是准确的。由于作为开辟者,向数据库提交准确的合适划定规矩的数据类型,这是最根基的请求。
那末进击者在 magic_quotes_gpc = On 时,他们怎样进击呢?很复杂,就是对数值型的字段停止 SQL 注入。以以下的 php 剧本为例:
复制代码 代码以下:
<?
if ( isset($_POST["f_login"] ) )
{
// 毗连数据库...
// ...代码略...
// 反省用户是不是存在
$t_strUid = $_POST["f_uid"];
$t_strPwd = $_POST["f_pwd"];
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";
if ( $t_hRes = mysql_query($t_strSQL) )
{
// 胜利查询以后的处置. 略...
}
}
?>
<html><head><title>sample test</title></head>
<body>
<form method=post action="">
User ID: <input type="text" name="f_uid" size=30><br>
Password: <input type=text name="f_pwd" size=30><br>
<input type="submit" name="f_login" value="登录">
</form>
</body>
下面这段剧本请求用户输出 userid 和 password 登入。一个正常的语句,用户输出 1001和abc123,提交的 sql 语句以下:
SELECT * FROM tbl_users WHERE userid=1001 AND password = 'abc123' LIMIT 0,1
假如进击者在 userid 处,输出:1001 OR 1 =1 #,则注入的sql语句以下:
SELECT * FROM tbl_users WHERE userid=1001 OR 1 =1 # AND password = 'abc123' LIMIT 0,1
进击者到达了目标。
三. 若何避免 PHP SQL 注入进击
若何避免 php sql 注入进击?我以为最主要的一点,就是要对数据类型停止反省和本义。总结的几点划定规矩以下:
php.ini 中的 display_errors 选项,应当设为 display_errors = off。如许 php 剧本失足以后,不会在 web 页面输入毛病,以避免让进击者剖析出有作的信息。
挪用 mysql_query 等 mysql 函数时,后面应当加上 @,即 @mysql_query(...),如许 mysql 毛病不会被输入。同理以避免让进击者剖析出有效的信息。别的,有些法式员在做开辟时,当 mysql_query失足时,习气输入毛病和 sql 语句,例如:
复制代码 代码以下:
$t_strSQL = "SELECT a from b....";
if ( mysql_query($t_strSQL) )
{
// 准确的处置
}
else
{
echo "毛病! SQL 语句:$t_strSQL \r\n毛病信息".mysql_query();
exit;
}
这类做法是相当风险和愚昧的。假如必定要这么做,最好在网站的设置装备摆设文件中,设一个全局变量或界说一个宏,设一下 debug 标记:
复制代码 代码以下:
全局设置装备摆设文件中:
define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE
//挪用剧本中:
$t_strSQL = "SELECT a from b....";
if ( mysql_query($t_strSQL) )
{
// 准确的处置
}
else
{
if (DEBUG_MODE)
echo "毛病! SQL 语句:$t_strSQL \r\n毛病信息".mysql_query();
exit;
}
对提交的 sql 语句,停止本义和类型反省。
四. 我写的一个平安参数获得函数
为了避免用户的毛病数据和 php + mysql 注入 ,我写了一个函数 PAPI_GetSafeParam(),用来获得平安的参数值:
复制代码 代码以下:
define("XH_PARAM_INT",0);
define("XH_PARAM_TXT",1);
function PAPI_GetSafeParam($pi_strName, $pi_Def = "", $pi_iType = XH_PARAM_TXT)
{
if ( isset($_GET[$pi_strName]) )
$t_Val = trim($_GET[$pi_strName]);
else if ( isset($_POST[$pi_strName]))
$t_Val = trim($_POST[$pi_strName]);
else
return $pi_Def;
// INT
if ( XH_PARAM_INT == $pi_iType)
{
if (is_numeric($t_Val))
return $t_Val;
else
return $pi_Def;
}
// String
$t_Val = str_replace("&", "&",$t_Val);
$t_Val = str_replace("<", "<",$t_Val);
$t_Val = str_replace(">", ">",$t_Val);
if ( get_magic_quotes_gpc() )
{
$t_Val = str_replace("\\\"", """,$t_Val);
$t_Val = str_replace("\\''", "'",$t_Val);
}
else
{
$t_Val = str_replace("\"", """,$t_Val);
$t_Val = str_replace("'", "'",$t_Val);
}
return $t_Val;
}
在这个函数中,有三个参数:
复制代码 代码以下:
$pi_strName: 变量名
$pi_Def: 默许值
$pi_iType: 数据类型。取值为 XH_PARAM_INT, XH_PARAM_TXT, 分离暗示数值型和文本型。
假如恳求是数值型,那末挪用 is_numeric() 判别是不是为数值。假如不是,则前往法式指定的默许值。
复杂起见,关于文本串,我将用户输出的一切风险字符(包含HTML代码),全体本义。因为 php 函数 addslashes()存在破绽,我用 str_replace()直代替换。get_magic_quotes_gpc() 函数是 php 的函数,用来判别 magic_quotes_gpc 选项是不是翻开。
方才第二节的示例,代码可以如许挪用:
复制代码 代码以下:
<?
if ( isset($_POST["f_login"] ) )
{
// 毗连数据库...
// ...代码略...
// 反省用户是不是存在
$t_strUid = PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT);
$t_strPwd = PAPI_GetSafeParam("f_pwd", "", XH_PARAM_TXT);
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";
if ( $t_hRes = mysql_query($t_strSQL) )
{
// 胜利查询以后的处置. 略...
}
}
?>
如许的话,就已相当平安了。PAPI_GetSafeParam的代码有点长,但就义这点效力,对包管平安,是值得的。但愿人人多品评斧正。:)
实现固定数量的几张图片的上传;再如调试软件ZendStudio的使用,看了很多次老师的应用,但总感觉用的不顺手,不懂那么多的数据值,到底哪一个才是真正的问题所在;还有如数据库语句的封装,我只会用简单的函数来进行封装。 对于初学者来说不推荐去拿钱买的。当然如果一个网站你经常去用,而且里面的资料也比较有用,最好还是买个会员比较好,毕竟那些也是别人的工作成果。 对于懒惰的朋友,我推荐php的集成环境xampp或者是wamp。这两个软件安装方便,使用简单。但是我还是强烈建议自己动手搭建开发环境。 真正的方向了,如果将来要去开发团队,你一定要学好smarty ,phplib这样的模板引擎, 基础有没有对学习php没有太大区别,关键是兴趣。 刚开始安装php的时候,我图了个省事,把php的扩展全都打开啦(就是把php.ini 那一片 extension 前面的冒号全去掉啦),这样自然有好处,以后不用再需要什么功能再来打开。 要进行开发,搭建环境是首先需要做的事,windows下面我习惯把环境那个安装在C盘下面,因为我配的环境经常出现诡异事件,什么事都没做环境有的时候就不能用啦。 基础有没有对学习php没有太大区别,关键是兴趣。 如果你已经到这种程度了,那么你已经可以做我的老师了。其实php也分很多的区域, 我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。 环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候,我强烈建议多读php手册。 当留言板完成的时候,下步可以把做1个单人的blog程序,做为目标, php是动态网站开发的优秀语言,在学习的时候万万不能冒进。在系统的学习前,我认为不应该只是追求实现某种效果,因为即使你复制他人的代码调试成功,实现了你所期望的效果,你也不了解其中的原理。 其实也不算什么什么心得,在各位大侠算是小巫见大巫了吧,望大家不要见笑,若其中有错误的地方请各位大虾斧正。 本人接触php时间不长,算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指,碰过不少疙瘩,呗很多小问题卡过很久,白白浪费不少宝贵的时间,在次分享一些子的学习的心得。 兴趣是最好的老师,百度是最好的词典。 我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。 有位前辈曾经跟我说过,phper 至少要掌握200个函数 编起程序来才能顺畅点,那些不熟悉的函数记不住也要一拿手册就能找到。所以建议新手们没事就看看php的手册(至少array函数和string函数是要记牢的)。 环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候,我强烈建议多读php手册。 当留言板完成的时候,下步可以把做1个单人的blog程序,做为目标,
页:
[1]
2