mysql注入在PHP代码层面的防御手段 – 作者:winhex

前置知识

什么是sql注入?

服务端没有对用户提交的参数进行严格的过滤,导致可以将SQL语句插入到可控参数中,改变原有的SQL语义结构,从而执行攻击者所预期的结果。

sql注入的探测

判断数据库类型

  • 端口

  • 报错信息

一些中间件常用的数据库

PHP MySQL

ASP SQL Server

ASPX SQL Server

JSP MySQL Oracle

寻找SQL注入点

寻找与数据库交互的可控参数

  • GET

  • POST

  • COOKIE

  • HTTP头

确定注入点

确定注入点的核心思想就是判断插入的数据是否被当做SQL语句执行。可以使用简单的算术运算来测试。

SQL注入的防御的原理

图片[1]-mysql注入在PHP代码层面的防御手段 – 作者:winhex-安全小百科

  • SQL语句预编译绑定变量

  • 使用足够严格的过滤和安全防御

  1. Web应用向数据库传递语句模板

  2. 数据库对模板进行编译,编译以后语义将不会改变

  3. 变量绑定,Web应用向数据库传递变量,变量只会被当做数据识别,不会被作为语义结构识别

  4. 执行SQL语句

SQL注入的核心:数据和代码的混淆。

PDO

什么是PDO?

PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。

PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。

PDO是php中最典型的预编译查询方式。

PDO场景下的SQL注入

PDO与安全相关的问题主要的设置有下面三项:

PDO::ATTR_EMULATE_PREPARES  # 模拟预编译
PDO::ATTR_ERRMODE # 报错
PDO::MYSQL_ATTR_MULTI_STATEMENTS # 多语句执行

第一项为模拟预编译,如果为False,则不存在SQL注入;如果为True,则PDO并非真正的预编译,而是将输入统一转化为字符型,并转义特殊字符。这样如果是gbk编码则存在宽字节注入。

第二项而报错,如果设置为True,可能会泄露一些信息。

第三项为多语句执行,如果设置为True,且第一项也为True,则会存在宽字节+堆叠注入的双重漏洞。

对于此类问题的防范,主要有以下三个方面:

  1. 合理、安全的使用gbk编码。即使采用PDO预编译的方式,如果开启模拟预编译,依然可以造成宽字节注入。

  2. 使用PDO时,一定要将模拟预编译设置为false。

  3. 可采用Prepare Statement手动预编译,防御SQL注入。

代码示例

$dbh = new PDO('mysql:dbname=testdb;host=127.0.0.1', $user, $password);
$stmt = $dbh->prepare('INSERT INTO REGISTRY (name, value) VALUES (:name, :value)');
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();

或者

$dbh = new PDO('mysql:dbname=testdb;host=127.0.0.1', $user, $password);
$stmt = $dbh->prepare('UPDATE people SET name = :new_name WHERE id = :id');
$stmt->execute( array('new_name' => $name, 'id' => $id) );

详细请参考:

从宽字节注入认识PDO的原理和正确使用

SQL注入基础整理及Tricks总结

技术分享 | MySQL 注入攻击与防御

ODBC

ODBC 是一种应用程序编程接口(Application Programming Interface,API),使我们有能力连接到某个数据源(比如一个 MS Access 数据库)。

代码示例

$stmt = odbc_prepare( $conn, 'SELECT * FROM users WHERE email = ?' );
$success = odbc_execute( $stmt, array($email) );

或者

$dbh = odbc_exec($conn, 'SELECT * FROM users WHERE email = ?', array($email));
$sth = $dbh->prepare('SELECT * FROM users WHERE email = :email');
$sth->execute(array(':email' => $email));

MYSQLi

MySQLi函数允许你访问MySQL数据库服务器。

$stmt = $db->prepare('update name set name = ? where id = ?');
$stmt->bind_param('si',$name,$id);
$stmt->execute();

框架

对于框架的话只要遵循框架的API就好,例如wp查询

global $wpdb;
$wpdb->query(
$wpdb->prepare( 'SELECT name FROM people WHERE id = %d OR email = %s',
$person_id, $person_email
)
);
global $wpdb;
$wpdb->insert( 'people',
array(
'person_id' => '123',
'person_email' => '[email protected]'
),
array( '%d', '%s' )
);

来源:freebuf.com 2021-03-01 18:36:40 by: winhex

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论