PHP安全与漏洞，防止SQL注入（一）

最新推荐文章于 2024-06-28 18:46:14 发布

Sparks550

最新推荐文章于 2024-06-28 18:46:14 发布

阅读量1.1k

点赞数

分类专栏： ThinkPHP PHP 文章标签： SQL注入安全漏洞数据库防护策略用户输入验证

本文链接：https://blog.csdn.net/sparks550/article/details/121428295

版权

ThinkPHP 同时被 2 个专栏收录

22 篇文章 2 订阅

订阅专栏

PHP

20 篇文章 0 订阅

订阅专栏

什么是SQL注入

首先是发生在Web程序中数据库层的安全漏洞，是网站存在最多最简单的漏洞。
主要原因是程序对用户输入数据的合法性没有判断，导致攻击者可以再Web应用程序中事先定义好的SQL语句中添加额外的SQL语句，以此来实现欺骗数据库服务器执行SQL语句，属于非法操作。

SQL注入实例

比如登录界面，要求输入用户名和密码。
可以这样输入实现免账号登陆：

用户名： ‘or 1 = 1 –
密码：

点登录，如若没有特殊处理，这个非法用户就很得意的登录。
分析下原因，
理论登录时，后台会有一个认证程序，如下sql语句：

String sql = “select * from user_table where username=
’ “+userName+” ’ and password=’ “+password+” '”;

当输入了上面的用户名和密码，上面的SQL语句变成：

SELECT * FROM user_table WHERE username=
‘’or 1 = 1 – and password=’’

分析SQL语句：
条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；
然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。
这还是比较温柔的，如果是执行

SELECT * FROM user_table WHERE
username=’’ ;DROP DATABASE (DB Name) --’ and password=’’
….其后果可想而知…

解决方法

方法一：php.ini配置文件，开启magic_quotes_gpc=on

PHP4.0及以上的版本中，该选项默认情况下是开启的。
所以在PHP4.0及以上的版本中，就算PHP程序中的参数没有进行过滤，PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换，
换句话说，输入的注入攻击代码将会全部被转换，将给攻击者带来非常大的困难。

虽然如此，攻击者仍然有机会进行SQL注入攻击

   实例演示：

    假设我们知道管理员的用户名为admin，密码不知道。并且已经将magic_quotes_gpc启用。

    SQL语句：sql="select∗fromuserswhereusername=sql="select∗fromuserswhereusername=name and password='pwd′";注意：变量pwd′";注意：变量name没加引号

    此时，在地址栏中输入username=admin%23，则合成后的sql语句为：

　　select * from users where username='admin\' #' and password='';

　　这时候通过url地址栏输入的单引号(’)将被加上反斜线，该sql语句将失效。

　　admin转换成ASCII后是char(97,100,109,105,110)

　　此时在地址栏中输入username=char(97,100,109,105,110)%23

　　SQL语句就变成了：

　　select * from users where username=char(97,100,109,105,110)#' and password='';

　　执行结果为真，就可以顺利进入后台。

　　对于数字型注入攻击，必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字，从而可以断绝数字型注入漏洞的产生。

　　比如：id=intval(id=intval(_GET[‘id’]);

　　select * from articles where id=’$id’;

　　地址栏中输入：id=5’ or 1=1%23

　　SQL语句将变成：select * from articles where id=’5’;

　　而不是select * from articles where id=’5’ or 1=1#;

方法二，强制类型转换

在很多时候我们要用到类似xxx.php?id=xxx这样的URL，一般来说 $i d 都是整型变量，为了防范攻击者把$ id篡改成攻击语句，我们要尽量强制变量，代码如下：

$id=intval($_GET['id']);

当然，还有其他的变量类型，如果有必要的话尽量强制一下格式。

方法三，输入内容验证

可以通过像单引号’，反斜杠\，字符or等敏感字符进行过滤，或者转义一些参数，从而破坏构造的sql语句，达到我们的目的呢。

<?php
$name=$_POST["userID"];
$passwd=$_POST["userPasswd"];

// 使用白名单进行输入用户名和密码验证
$whitepattern="/^[a-z\d]*$/i";         // 构造的白名单正则表达式，只允许输入的内容是字符串和数字的组合
$blackpattern="/\*|'|\"|#|;|,|or|\^|=|<|>|and/i";
// 构造的黑名单正则表达式
if(preg_match($blackpattern, $name)){ // preg_match：使用正则表达式对字符串进行正则匹配
	die('illegal input! 用户名中包含敏感词汇！');
}
if(!preg_match($whitepattern, $passwd)){
	die('illegal input! 密码中包含敏感词汇！');
}
?>