结构化查询语言 (SQL) 是一种用来和数据库交互的文本语言。 SQL Injection 就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言 (SQL) 当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入 的数据没有进行严格的过滤,导致非法数据库查询语句的执行。如下面的用户登陆验证程序:
$sql = "SELECT * FROM user WHERE username='$username' AND password='$password'";
$result = mysql_db_query($dbname, $sql);
如果我们提交如下 url :
http://127.0.0.1/injection/user.php?username=angel' or '1=1
那么就可以成功登陆系统,但是很显然这并不是我们预期的,同样我们也可以利用 sql的注释语句实现 sql 注入,如下面的例子:
http://127.0.0.1/injection/user.php?username=angel'/*
http://127.0.0.1/injection/user.php?username=angel'%23
这样就把后面的语句给注释掉了!说说这两种提交的不同之处,我们提交的第一句是利用逻辑运算,第二、三句是根据 mysql 的特性, mysql 支持 /* 和 # 两种注释格式,所以我
们提交的时候是把后面的代码注释掉,值得注意的是由于编码问题,在 IE 地址栏里提交 #会变成空的,所以我们在地址栏提交的时候,应该提交 %23 ,才会变成 # ,就成功注释了, 这个比逻辑运算简单得多了。
开发中可以采取的措施:
1. prepareStatement + Bind-variable
对 Java ,Jsp 开发的应用 , 可以使用 prepareStatement + Bind-variable 来防止sql 注入 。
2.使用应用程序提供的转换函数:
很多应用程序接口都提供了对特殊的字符进行转换的函数,恰当的使用这些函数,可以防止应用程序用户输入使应用程序生成不期望的效果的语句的数值。
MySQL C API :使用 mysql_real_escape_string() API 调用。
MySQL++ :使用 escape 和 quote 修饰符。
Perl DBI :使用 placeholders 或者 quote() 方法。
Ruby DBI :使用 placeholders 或者 quote() 方法。
Java JDBC :使用 PreparedStatement 和 placeholders 。
3.自己定义函数进行校验
如果现有的转换函数仍然不能满足要求,则需要自己编写函数进行输入校验。
1581
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
