SQL注入攻击技巧与防范

SQL注入攻击危害

• 非法读取、篡改、删除数据库中的数据
• 盗取用户的各类敏感信息，获取利益
• 通过修改数据库来修改网页上的内容
• 注入木马等

写在前面

• 在 Web1.0 时代，人们更多是关注服务器端动态脚本语言的安全问题，比如将一个可执行脚本（俗称 Webshell）通过脚本语言的漏洞上传到服务器上，从而获得服务器权限。在 Web 发展初期，随着动态脚本语言的发展和普及，以及早期工程师对安全问题认知不足导致很多” 安全血案” 的发生，至今仍然遗留下许多历史问题，比如 PHP 语言至今仍然无法从语言本身杜绝「文件包含漏洞」（参见这里），只能依靠工程师良好的代码规范和安全意识。
• 伴随着 Web2.0、社交网络、微博等一系列新型互联网产品的兴起，基于 Web 环境的互联网应用越来越广泛，Web 攻击的手段也越来越多样，Web 安全史上的一个重要里程碑是大约 1999 年发现的 SQL 注入攻击，之后的 XSS，CSRF 等攻击手段愈发强大，Web 攻击的思路也从服务端转向了客户端，转向了浏览器和用户。

常见攻击方式

一般说来，在 Web 安全领域，常见的攻击方式大概有以下几种：
1、SQL 注入攻击
2、跨站脚本攻击 - XSS
3、跨站伪造请求攻击 - CSRF
4、文件上传漏洞攻击
5、分布式拒绝服务攻击 - DDOS

如何确定 SQL 注入漏洞

• 黑客并不知道我们程序代码的逻辑和 SQL 语句的写法，他是如何确定一个网站是否存在 SQL 注入漏洞呢？一般说来有以下 2 种途径：
  1. 错误提示 如果目标 Web 网站开启了错误显示，攻击者就可以通过反复调整发送的参数、查看页面打印的错误信息，推测出 Web 网站使用的数据库和开发语言等重要信息。
  2. 盲注 除非运维人员疏忽，否则大部分的 Web 运营网站应该都关闭了错误提示信息，此时攻击者一般会采用盲注的技巧来进行反复的尝试判断。 仍然以上面的数据表 user 为例，我们之前的查看会员详情页面的 url 地址为userinfo.php?username=plhwin，此时黑客分别访问userinfo.php?username=plhwin' AND 1=1-- hack和userinfo.php?username=plhwin' AND 1=2-- hack，如果前者访问能返回正常的信息而后者不能，就基本可以判断此网站存在 SQL 注入漏洞，因为后者的1=2这个表达式永远不成立，所以即使 username 传入了正确的参数也无法通过，由此可以推断这个页面存在 SQL 注入漏洞，并且可以通过username参数进行注入。

如何防御 SQL 注入

• 对于服务器配置层面的防范，应该保证生产环境的 Webserver 是关闭错误信息的，比如 PHP 在生产环境的配置文件 php.ini 中的 display_errors 应该设置为 Off，这样就关闭了错误提示，下面我们更多的从编码的角度来看看如何防范 SQL 注入。上面用两个实例分析了 SQL 注入攻击的技巧，可以看到，但凡有 SQL 注入漏洞的程序，都是因为程序要接受来自客户端用户输入的变量或 URL 传递的参数，并且这个变量或参数是组成 SQL 语句的一部分，对于用户输入的内容或传递的参数，我们应该要时刻保持警惕，这是安全领域里的「外部数据不可信任」的原则，纵观 Web 安全领域的各种攻击方式，大多数都是因为开发者违反了这个原则而导致的，所以自然能想到的，就是从变量的检测、过滤、验证下手，确保变量是开发者所预想的。

1. 检查变量数据类型和格式

• 如果你的 SQL 语句是类似where id={$id}这种形式，数据库里所有的 id 都是数字，那么就应该在 SQL 被执行前，检查确保变量 id 是 int 类型；如果是接受邮箱，那就应该检查并严格确保变量一定是邮箱的格式，其他的类型比如日期、时间等也是一个道理。总结起来：只要是有固定格式的变量，在 SQL 语句执行前，应该严格按照固定格式去检查，确保变量是我们预想的格式，这样很大程度上可以避免 SQL 注入攻击。
• 比如，我们前面接受username参数例子中，我们的产品设计应该是在用户注册的一开始，就有一个用户名的规则，比如5-20个字符，只能由大小写字母、数字以及一些安全的符号组成，不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过，仍然有很多例外情况并不能应用到这一准则，比如文章发布系统，评论系统等必须要允许用户提交任意字符串的场景，这就需要采用过滤等其他方案了。

2. 过滤特殊符号

• 对于无法确定固定格式的变量，一定要进行特殊符号过滤或转义处理。以 PHP 为例，通常是采用addslashes函数，它会在指定的预定义字符前添加反斜杠转义，这些预定义的字符是：单引号 (') 双引号 (") 反斜杠 (\) NULL。

3. 绑定变量，使用预编译语句

数据库信息加密安全

• 不要明文存储用户的密码，提高对用户信息安全尤其是密码安全关注，我们在防范 SQL 注入的发生的同时，也应该未雨绸缪，防止拖库。
• 在 Web 开发中，传统的加解密大致可以分为三种:
  • 1、对称加密：即加密方和解密方都使用相同的加密算法和密钥，这种方案的密钥的保存非常关键，因为算法是公开的，而密钥是保密的，一旦密匙泄露，黑客仍然可以轻易解密。常见的对称加密算法有：AES、DES等。
  • 2、非对称加密：即使用不同的密钥来进行加解密，密钥被分为公钥和私钥，用私钥加密的数据必须使用公钥来解密，同样用公钥加密的数据必须用对应的私钥来解密，常见的非对称加密算法有：RSA等。
  • 3、不可逆加密：利用哈希算法使数据加密之后无法解密回原数据，这样的哈希算法常用的有：md5、SHA-1等。
• 在我们上面登录系统的示例代码中，$md5password = md5($password);从这句代码可以看到采用了 md5 的不可逆加密算法来存储密码，这也是多年来业界常用的密码加密算法，但是这仍然不安全。为什么呢？这是因为 md5 加密有一个特点：同样的字符串经过 md5 哈希计算之后生成的加密字符串也是相同的，由于业界采用这种加密的方式由来已久，黑客们也准备了自己强大的 md5 彩虹表来逆向匹配加密前的字符串，这种用于逆向反推 MD5 加密的彩虹表在互联网上随处可见，在 Google 里使用md5 解密作为关键词搜索，一下就能找到 md5 在线破解网站，把我们插入用户数据时候的 MD5 加密字符串e10adc3949ba59abbe56e057f20f883e填入进去，瞬间就能得到加密前的密码：123456。当然也并不是每一个都能成功，但可以肯定的是，这个彩虹表会越来越完善。所以，我们有迫切的需求采用更好的方法对密码数据进行不可逆加密，通常的做法是为每个用户确定不同的密码加盐（salt）后，再混合用户的真实密码进行 md5 加密。

小结

1、不要随意开启生产环境中 Webserver 的错误显示。
2、永远不要信任来自用户端的变量输入，有固定格式的变量一定要严格检查对应的格式，没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的 SQL 语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

转载：http://www.plhwin.com/2014/06/13/web-security-sql/

参考：http://blog.csdn.net/myron_sqh/article/details/12975563