漏洞原理
以下面的PHP代码为例。
<?php
include('con_database.php');
$username=isset($_POST['username'])?$_POST['username']:'';
$password=isset($_POST['password'])?$_POST['password']:'';
if($username=='' || $password==''){
echo "<script>alert('请输入账号和密码!')</script>";
exit;
}
$sql="select * from users where username='$username' and passcode='$password'";
当我们传入参数username=admin&password=test时,正常的查询语句是这样的
$sql="select * from users where username='admin' and passcode='test'";
下面我们尝试绕过,当我们将传入的参数改为username=admin' or '1'='1&password=test' or '1'='1
查询语句就变成了下面这样
$sql="select * from users where username='admin' or '1'='1' and passcode='test' or '1' = '1'";
php符号优先级
&& > || > AND > OR
所以分析语句username='admin' or '1'='1'和'test' or '1' = '1'的返回值都是1,where后面的语句为真,即整个SQL语句为真,即表示查询正确,而形成的语句可以将整个users表查询
由此可以引申出,只要where后面字句为真,即可跳过验证,有如下衍生方法:
' or 1=1 #
' or 1=1 -- (后面有空格)
'or"="or'
防御手段
正则表达式
可以使用正则表达式限制用户的用户名输入,比如:
/^[a-z0-9A-Z_]{5,16}$/
使用PHP转义函数:
addslashes()函数:
能够将单引号、双引号、反斜杠和null转义
mysql_escape_string()函数、mysql_real_escape_string()函数
这个是转义SQL语句中的符号,php7.x版本的都要变成mysqli
$username=isset($_POST['username'])?addslashes($_POST['username']):'';
$password=isset($_POST['password'])?mysqli_real_escape_string($con,$_POST['password']):'';
转义函数的弊端
因为使用的是UTF-8编码,不是宽字节编码,形成的'会被变成%5c%27
Windows下默认的是宽字节的gbk编码
如果在%5c前面加上一个字符形成一个复杂的汉字,那么单引号仍然会被输出