sql注入漏洞以及PDO防御绕过

一、环境搭建

1. 安装phpstudy：

   • 下载并安装phpstudy并启动Apache、MySQL等服务。

2. 配置数据库：

   • 在phpmyadmin创建一个名为test_db的数据库。

     CREATE DATABASE test_db;
     USE test_db;
     
     CREATE TABLE users (
         id INT AUTO_INCREMENT PRIMARY KEY,
         username VARCHAR(50) NOT NULL,
         password VARCHAR(50) NOT NULL
     );
     
     INSERT INTO users (username, password) VALUES ('admin', 'admin123'), ('user1', 'password1');
     

3. Web页面的配置：

   • 在phpstudy的WWW目录中，创建一个名为sql_injection的文件夹并在该文件夹内创建一个名为login.php的文件，并添加以下代码：

     <?php
     $conn = new mysqli("localhost", "root", "123456", "test_db");
     
     if ($conn->connect_error) {
         die("Connection failed: " . $conn->connect_error);
     }
     
     if ($_SERVER["REQUEST_METHOD"] == "POST") {
         $username = $_POST['username'];
         $password = $_POST['password'];
     
         $sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
         $result = $conn->query($sql);
     
         if ($result->num_rows > 0) {
             echo "Login successful!";
         } else {
             echo "Invalid credentials!";
         }
     }
     ?>
     
     <form method="POST">
         Username: <input type="text" name="username"><br>
         Password: <input type="password" name="password"><br>
         <input type="submit" value="Login">
     </form>
     

4. 测试：

   访问http://localhost/sql_injection/login.php，输入用户名和密码进行测试，确保页面工作正常。

二、SQL注入漏洞复现

1. 常见注入攻击：

   • 在用户名字段中输入：' OR 1=1; --，输入密码123456
   • 点击登录，显示“Login successful!”，则注入成功。

2. Union查询注入：

   • 在用户名字段中输入：' UNION SELECT null, table_name FROM information_schema.tables; --，输入密码123456
   • 输出结果，会看到数据库中的表名。

三、SQL注入防御——PDO

在上面的php代码中，输入的用户名和密码是直接嵌入到SQL查询的字符串中的，所以会引发SQL注入。比如，如果用户输入以下内容作为用户名：

' OR '1'='1

则，生成的SQL查询如下：

SELECT * FROM users WHERE username='' OR '1'='1' AND password='password'

这个SQL查询总是为真，因此攻击者可以绕过登录验证。

解释PDO的防御机制

1. 预处理语句

预处理语句的优势在于，它将 SQL 结构与参数分开，这样即使用户输入了恶意的 SQL 代码，也不会影响原始的 SQL 语句结构。

$sql = "SELECT * FROM users WHERE username = :username";
$stmt = $pdo->prepare($sql);

正如以上，:username 是一个占位符，它表示在执行查询时将由一个实际的值来替代。

2. 参数绑定

参数绑定是指在执行预处理语句时，将用户输入的数据绑定到特定的占位符上。PDO 会自动对输入的数据进行转义，确保其不会被当作 SQL 代码来执行，从而有效防止 SQL 注入。

$username = $_POST['username'];
$stmt->bindParam(':username', $username);
$stmt->execute();

在这段代码中，用户输入的 username 会被绑定到 :username 占位符上。PDO 会确保这个输入值被视作字符串，而不是 SQL 语句的一部分。

防止 SQL 注入

SQL 注入是一种常见的网络攻击方式，攻击者通过将恶意的 SQL 代码插入到输入字段中，试图操纵数据库查询。例如：

如果直接将用户输入嵌入到 SQL 查询中：

$sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";

如果用户输入 username 为 '; DROP TABLE users; --，则查询将变成：

SELECT * FROM users WHERE username = ''; DROP TABLE users; --';

这可能导致用户表被删除。而使用 PDO 的预处理语句和参数绑定，即使输入了这样的恶意字符串，也不会被执行，因为它仅作为字符串参数被处理。 所以我们可以，

1. 修改login.php来使用PDO：

   <?php
   try {
       $conn = new PDO("mysql:host=localhost;dbname=test_db", "root", "123456");
       // 设置PDO错误模式为异常模式
       $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
       echo "Connected successfully<br>";
   } catch(PDOException $e) {
       die("Connection failed: " . $e->getMessage());
   }
   
   if ($_SERVER["REQUEST_METHOD"] == "POST") {
       $username = $_POST['username'];
       $password = $_POST['password'];
   
       // 使用预处理语句防止SQL注入
       $stmt = $conn->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
       $stmt->bindParam(':username', $username);
       $stmt->bindParam(':password', $password);
   
   
       $stmt->execute();
       $result = $stmt->fetchAll();
   
   
       if (count($result) > 0) {
           echo "Login successful!";
       } else {
           echo "Invalid credentials!";
       }
   }
   ?>
   
   <form method="POST">
       Username: <input type="text" name="username"><br>
       Password: <input type="password" name="password"><br>
       <input type="submit" value="Login">
   </form>

2. 重测：

   • 重复上述的SQL注入攻击测试，因为用户输入不再直接嵌入SQL语句中，而是通过参数传递，所以防止了SQL注入。

四、绕过PDO

1.错误使用传递

使用了PDO，但是不正确的使用参数绑定传递，二是直接拼接用户的输入，也依旧存在注入风险，就像：

$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$stmt = $pdo->query($sql);
$user = $stmt->fetch();

if ($user) {
    echo "Login successful!";
} else {
    echo "Invalid username or password.";
}

$username 和 $password 是用户输入的数据，直接拼接到 SQL 查询字符串中。假设一个攻击者在用户名字段中输入以下内容：

' OR '1'='1

生成的 SQL 查询会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '';

OR '1'='1' 是一个总为真的条件，查询将返回数据库中的所有用户记录。即使密码不正确，也可能成功登录。

2. 宽字节注入

假设目前的PHP 应用使用 GBK 编码，且开启了 magic_quotes_gpc（已在 PHP 5.4 中移除）或手动使用了 addslashes() 函数来转义用户输入的单引号 '。

$input = "\xdf";  // 用户输入的恶意数据
$escaped_input = addslashes($input);  // 转义后的结果：\xdf

// 最终的 SQL 查询
$query = "SELECT * FROM users WHERE username = '$escaped_input'";
// 结果：SELECT * FROM users WHERE username = '\xdf'

在 GBK 编码下，\xdf 是一个半字符，当与反斜杠 \ 结合在一起时，MySQL 会将其视为一个完整的宽字符，从而忽略了转义。这可能导致单引号 ' 被有效关闭，形成 SQL 注入。

$input = "\xdf' OR '1'='1";  // 用户输入的恶意数据
$escaped_input = addslashes($input);  // 转义后的结果：\xdf\' OR \'1\'=\'1

// 最终的 SQL 查询
$query = "SELECT * FROM users WHERE username = '$escaped_input'";
// 结果：SELECT * FROM users WHERE username = '縗' OR '1'='1'

这也将导致 SQL 查询返回所有用户记录。

五、总结

虽然PDO提供了很强大的防御机制，但前提是正确地使用，包括正确参数绑定，避免直接拼接。还有字符集的指定，及时更新php·························O(∩_∩)O