對(duì)于sql注入與防注入其實(shí)就是一個(gè)攻與防的,今天我們要告訴大家最基本的注入和防止方法,原理都是利用了php或mysql的一些特性而我們沒注意所造成的.

一個(gè)簡(jiǎn)單的SQL注入攻擊案例

假如我們有一個(gè)公司網(wǎng)站,在網(wǎng)站的后臺(tái)數(shù)據(jù)庫中保存了所有的客戶數(shù)據(jù)等重要信息,假如網(wǎng)站登錄頁面的代碼中有這樣一條命令來讀取用戶信息,代碼如下:

1. <?php 
2. $q = "SELECT `id` FROM `users` WHERE `username`= ' " .$_GET['username']. " ' AND `password`= ' " .$_GET['password']. " ' "; 
3. ?> 

現(xiàn)在有一個(gè)黑客想攻擊你的數(shù)據(jù)庫,他會(huì)嘗試在此登錄頁面的用戶名的輸入框中輸入以下代碼:;SHOW TABLES;點(diǎn)擊登陸鍵,這個(gè)頁面就會(huì)顯示出數(shù)據(jù)庫中的所有表,如果他現(xiàn)在使用下面這行命令:;DROP TABLE [table name];這樣他就把一張表刪除了.

當(dāng)然,這只是一個(gè)很簡(jiǎn)單的例子,實(shí)際的SQL注入方法比這個(gè)要復(fù)雜得多,黑客也愿意花大量的時(shí)間來不斷嘗試來攻擊你的代碼,有一些程序軟件也可以自動(dòng)地來不斷嘗試SQL注入攻擊,了解了SQL注入的攻擊原理后,我們來看一下如何防范SQL注入攻擊.

magic_quotes_gpc = On 時(shí)的注入攻擊

當(dāng) magic_quotes_gpc = On 時(shí),攻擊者無法對(duì)字符型的字段進(jìn)行 SQL 注入,這并不代表這就安全了,這時(shí),可以通過數(shù)值型的字段進(jìn)行SQL注入.

在最新版的 MYSQL 5.x 中,已經(jīng)嚴(yán)格了數(shù)據(jù)類型的輸入,已默認(rèn)關(guān)閉自動(dòng)類型轉(zhuǎn)換。數(shù)值型的字段,不能是引號(hào)標(biāo)記的字符型。也就是說,假設(shè) uid 是數(shù)值型的,在以前的 mysql 版本中,這樣的語句是合法的,代碼如下:

INSERT INTO tbl_user SET uid="1";SELECT * FROM tbl_user WHERE uid="1";

在最新的 MYSQL 5.x 中,上面的語句不是合法的,必須寫成這樣,代碼如下:

INSERT INTO tbl_user SET uid=1;SELECT * FROM tbl_user WHERE uid=1;

這樣我認(rèn)為是正確的,因?yàn)樽鳛殚_發(fā)者,向數(shù)據(jù)庫提交正確的符合規(guī)則的數(shù)據(jù)類型,這是最基本的要求.

那么攻擊者在 magic_quotes_gpc = On 時(shí),他們?cè)趺垂裟兀亢芎?jiǎn)單,就是對(duì)數(shù)值型的字段進(jìn)行 SQL 注入,以下列的 php 腳本為例,代碼如下:

1. <?php 
2. if ( isset($_POST["f_login"] ) ) 
3. { 
4.   // 連接數(shù)據(jù)庫... 
5.   // ...代碼略... 
6.  
7.   // 檢查用戶是否存在 
8.   $t_strUid = $_POST["f_uid"]; 
9.   $t_strPwd = $_POST["f_pwd"]; 
10.   $t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1"; 
11.   if ( $t_hRes = mysql_query($t_strSQL) ) 
12.   { 
13.     // 成功查詢之后的處理. 略... 
14.   } 
15.  
16. } 
17. ?> 
18. <html><head><title>sample test</title></head> 
19. <body> 
20. <form method=post action=""> 
21.   User ID: <input type="text" name="f_uid" size=30><br> 
22. //開源代碼Vevb.com 
23.   Password: <input type=text name="f_pwd" size=30><br> 
24.   <input type="submit" name="f_login" value="登錄"> 
25. </form> 
26. </body> 

上面這段腳本要求用戶輸入 userid 和 password 登入,一個(gè)正常的語句,用戶輸入 1001和abc123,提交的 sql 語句如下:

SELECT * FROM tbl_users WHERE userid=1001 AND password = 'abc123' LIMIT 0,1

如果攻擊者在 userid 處，輸入：1001 OR 1 =1 #，則注入的sql語句如下：

SELECT * FROM tbl_users WHERE userid=1001 OR 1 =1 # AND password = 'abc123' LIMIT 0,1,攻擊者達(dá)到了目的.

防范SQL注入 - 使用mysql_real_escape_string()函數(shù),在數(shù)據(jù)庫操作的代碼中用這個(gè)函數(shù)mysql_real_escape_string()可以將代碼中特殊字符過濾掉,如引號(hào)等,如下例:

1. <?php 
2. $q = "SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' "; 
3. ?> 

防范SQL注入 - 使用mysql_query()函數(shù)

mysql_query()的特別是它將只執(zhí)行SQL代碼的第一條,而后面的并不會(huì)執(zhí)行,回想在最前面的例子中,黑客通過代碼來例后臺(tái)執(zhí)行了多條SQL命令,顯示出了所有表的名稱,所以mysql_query()函數(shù)可以取到進(jìn)一步保護(hù)的作用,我們進(jìn)一步演化剛才的代碼就得到了下面的代碼:

1. <?php 
2. //connection 
3. $database = mysql_connect("localhost", "username","password"); 
4. //db selection 
5. mysql_select_db("database", $database); 
6. $q = mysql_query("SELECT `id` FROM `users` WHERE `username`= ' " .mysql_real_escape_string( $_GET['username'] ). " ' AND `password`= ' " .mysql_real_escape_string( $_GET['password'] ). " ' ", $database);  
7. ?> 

除此之外,我們還可以在PHP代碼中判斷輸入值的長(zhǎng)度,或者專門用一個(gè)函數(shù)來檢查輸入的值,所以在接受用戶輸入值的地方一定要做好輸入內(nèi)容的過濾和檢查,當(dāng)然學(xué)習(xí)和了解最新的SQL注入方式也非常重要,這樣才能做到有目的的防范,如果使用的是平臺(tái)式的網(wǎng)站系統(tǒng)如Wordpress,要注意及時(shí)打上官方的補(bǔ)丁或升級(jí)到新的版本,如果有講得不對(duì)的地方或不理解的請(qǐng)?jiān)谠u(píng)論區(qū)留言.

php.ini 中的 display_errors 選項(xiàng)，應(yīng)該設(shè)為　display_errors = off,這樣 php 腳本出錯(cuò)之后,不會(huì)在 web 頁面輸出錯(cuò)誤,以免讓攻擊者分析出有作的信息.

調(diào)用 mysql_query 等 mysql 函數(shù)時(shí),前面應(yīng)該加上 @，即 @mysql_query(...),這樣 mysql 錯(cuò)誤不會(huì)被輸出,同理以免讓攻擊者分析出有用的信息,另外,有些程序員在做開發(fā)時(shí),當(dāng) mysql_query出錯(cuò)時(shí),習(xí)慣輸出錯(cuò)誤以及 sql 語句,代碼如下:

1. $t_strSQL = "SELECT a from b...."; 
2. if ( mysql_query($t_strSQL) ) 
3. { 
4.   // 正確的處理 
5. } 
6. else 
7. { 
8.   echo "錯(cuò)誤! SQL 語句：$t_strSQL rn錯(cuò)誤信息".mysql_query(); 
9.   exit; 
10. } 

這種做法是相當(dāng)危險(xiǎn)和愚蠢的,如果一定要這么做,最好在網(wǎng)站的配置文件中,設(shè)一個(gè)全局變量或定義一個(gè)宏,設(shè)一下 debug 標(biāo)志.

全局配置文件中,代碼如下:

define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE 

調(diào)用腳本中,代碼如下:

1. $t_strSQL = "SELECT a from b...."; 
2. if ( mysql_query($t_strSQL) ) 
3. { 
4.   // 正確的處理 
5. } 
6. else  
7. { 
8.   if (DEBUG_MODE) 
9.     echo "錯(cuò)誤! SQL 語句：$t_strSQL rn錯(cuò)誤信息".mysql_query(); 
10.   exit; 
11. }