深入escape_string for Mysql

http://zone.wooyun.org/content/2413

继续发老文档，这片是我09年分析PHP宽字节绕过addslashes等常用SQL注入过滤语句时写的分析文档。刚才发struts那篇文档，这篇一并发上来，充实一下PHP区的内容。 

同样请各位注意，这篇文档的内容是09年的，当时甚至还有用PHP4的，可能有部分过时，查看时请注意分辨。 

Author: wofeiwo#80sec.com 
Date: 2009-7-28 

一、背景  
　　在日常的web程序编写过程中，经常需要处理字符集的问题。在PHP+Mysql的环境下，通常会使用SET NAMES来设定Mysql数据库当前所使用的字符集。 
　　但是这就很容易造成一个问题：通过字符集转换进行注射攻击，通常这样的代码能够绕过PHP 函数addslashes或mysql_escape_string的过滤。因为addslashes、mysql_escape_string没有考虑到宽字符，一旦使用就会造成误过滤。能够被巧妙运用并造成SQL注射攻击。 
　　因此，为了更好的安全性需要，我们需要使用脚本语言提供的real_escape_string API对用户输入到Mysql数据库中执行的语句或变量进行安全性的过滤。这是一个非常良好的习惯。Real_escape_string函数理论上会按照当前字符集的设置，有效处理单、宽字符，不放过任何一个敏感字符（如单引号，双引号，反斜线等）。但是，在现实的运用过程中，却常常并非如此。 
　　让我们来看看如下一份代码。 
<?php 
$mysqli = new mysqli("localhost", "user", "pass", "test", 3306); 

/* check connection */ 
if (mysqli_connect_errno()) { 
    printf("Connect failed: %s\n", mysqli_connect_error()); 
    exit(); 
} 

$mysqli->query('SET NAMES gbk'); //使用set names设置字符集 
$city = chr(0xbf).chr(0x5c); //0xbf5c是个有效的gbk字符，模拟用户输入 
$city = $mysqli->real_escape_string ($city);//使用real_escape进行过滤 


/* this query will fail, cause we didn't escape $city */ 
if (!$mysqli->query("INSERT into myCity(name) VALUES ('$city')")) { 
    print "INSERT into myCity (name) VALUES ('$city')\n"; 
    printf("Error: %s\n", $mysqli->error); 
} 

var_dump($city); 

var_dump($mysqli->client_encoding()); 

$mysqli->close(); 
?>
　　这份代码的结构很常见，它的执行结果如下： 
INSERT into myCity (name) VALUES ('縗\') 
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''縗\')' at line 1 
string(3) "縗\" 
string(6) "latin1"
　　我们可以看到，虽然使用SET NAMES设置了数据库的字符集，但是real_escape_string函数却没有起到他该有的作用：按照当前字符集，过滤敏感字符。反而还是和addslashes一样，一个字节一个字节过滤，使得“0xbf5c”（縗）被过滤成了“0xbf5c5c”（縗\）。从而转义了后面的单引号，破坏了sql语句。 

二、原因  
　　再仔细查看上面一段程序的结果。会发现mysql的client_encoding()函数返回的字符集是”latin1”。很明显，real_escape_string是按照了这个字符集对参数进行过滤，所以才导致了以上的这些问题。 
　　在mysql手册中，对set names的作用如下表示： 
SET NAMES 'x'语句与这三个语句等价： 

mysql> SET character_set_client = x; 
mysql> SET character_set_results = x; 
mysql> SET character_set_connection = x;
　　看上去完美无缺，所有mysql涉及到的三种字符集都被修改了（客户端字符集，连接字符集，输出结果字符集）。但是为何还是不起作用？ 
　　通过跟踪PHP中mysql_real_escape_string的代码，发现他是直接调用了mysql提供的mysql_real_escape_string这个API： 
ulong STDCALL 
mysql_real_escape_string(MYSQL *mysql, char *to,const char *from, 
       ulong length) 
{ 
  if (mysql->server_status & SERVER_STATUS_NO_BACKSLASH_ESCAPES) 
    return (uint) escape_quotes_for_mysql(mysql->charset, to, 0, from, length); 
  return (uint) escape_string_for_mysql(mysql->charset, to, 0, from, length); //这里使用的是struct mysql中的charset成员来作为判断当前字符集的 
}
　　从代码中可以看到它是通过mysql这个结构体中charset来判断当前使用的字符集设置的。而使用sql语句对mysql环境变量进行设置，无论如何设置，都无法改变客户端内存中mysql结构体的charset成员的值。 

三、解决方案  
　　因此，为了修改此结构体，从而使mysql_real_escape_string函数真正生效，只有通过PHP提供的mysql_set_charset或mysqli_set_charset函数来进行： 
int STDCALL mysql_set_character_set(MYSQL *mysql, const char *cs_name) 
{ 
  struct charset_info_st *cs; 
  const char *save_csdir= charsets_dir; 

  if (mysql->options.charset_dir) 
    charsets_dir= mysql->options.charset_dir; 

  if (strlen(cs_name) < MY_CS_NAME_SIZE && 
     (cs= get_charset_by_csname(cs_name, MY_CS_PRIMARY, MYF(0)))) 
  { 
    char buff[MY_CS_NAME_SIZE + 10]; 
    charsets_dir= save_csdir; 
    /* Skip execution of "SET NAMES" for pre-4.1 servers */ 
    if (mysql_get_server_version(mysql) < 40100) 
      return 0; 
    sprintf(buff, "SET NAMES %s", cs_name); //set names语句 
    if (!mysql_real_query(mysql, buff, (uint) strlen(buff))) 
    { 
      mysql->charset= cs; //修改了结构体的charset 
    } 
  }

　　从代码中可以看出，这两个函数不仅仅执行了SET NAMES SQL语句，还增加了关键的一步：“mysql->charset= cs;”。 修改了mysql结构体中的charset为当前字符集，这样才能使mysql_real_escape_string真正起作用。 
　　我们再来测试一下，修改上文测试代码中的: 
$mysqli->query('SET NAMES gbk');
　　修改为： 
$mysqli->set_charset('gbk');
　　然后再看看执行结果： 
string(2) "縗" 
string(3) "gbk"
　　成功执行，而client_encoding也变成了gbk，说明我们的mysql_real_escape_string函数真正按照预期起作用了。 

四、扩展  
　　通过以上方法的确可以解决此字符集转换注入问题，但是，mysqli_set_charset函数对PHP和Mysql有版本要求，必须当mysql版本大于5，PHP版本大于5.0.5时，此函数才有效。至于另一个mysql_set_charset函数，则更要求PHP版本大于5.2.3时才能有效。这对于某些环境下的老版本应用程序可能并不适用。
　　这里提供另一个解决方案，可以在Mysql 4.1以上版本有效（注：这也是Discuz当年用的方法）。使用： 
SET character_set_client=binary;
　　当使用此语句时，将客户端连接设置为binary，则无论用户输入中是否有敏感字符，mysql在解析时，都只会将其当做二进制数据，而不会当做转义字符或特殊字符处理，因此不会破坏sql语句。应用程序只需要在从mysql数据库取出数据后，在输出时按照当前字符集输出即可。 
　　 
　　我们再来测试一下，修改上文测试代码中的: 
$mysqli->query('SET NAMES gbk');
　　修改为： 
$mysqli->query('SET character_set_client=binary;');
　　然后再看看执行结果： 
string(3) "縗\" 
string(6) "latin1"
　　可见虽然反斜杠被输入进了sql语句，但是并没有被当做转义字符处理。无法破坏sql语句结构，可以安全运行。 
　　然而此方法也有另外的问题，比如上例中插入的数据就比正常插入的数据多出了一个反引号。而当使用like语句时，类似” like ‘%$_GET[‘user_input’]%’ ”这样的语句，如果当时的显示是gbk编码，而用户输入的是一个单字符，而此单字符又是gbk双字符编码中的一部分时，则此语句可能会匹配到非预期的内容。此外，使用binary还可能会造成其他不可知的问题。 

五、总结  
　　希望各位在编写程序时，按照当时环境和需求，选择以上两种方式中的一种方式进行字符集数据库操作。通常情况下，我推荐使用mysql_set_charset设置字符集的方案，只有在环境不允许的情况下，才推荐使用第二种binary编码的方案。但是无论在什么情况下，都禁止使用”SET NAMES”来作为设置字符集的操作，因为从安全上说，这一设置根本没有起到任何作用。