分享
 
 
 

在PHP中全面阻止SQL注入式攻击之三

王朝php·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

一、 建立一个安全抽象层

我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中,而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中,并且针对用户输入的每一项调用这个函数。当然,我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中,从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类;在本篇中,我们正要讨论其中的一些。

进行这种抽象至少存在三个优点(而且每一个都会改进安全级别):

1. 本地化代码。

2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。

3. 当基于安全特征进行构建并且恰当使用时,这将会有效地防止我们前面所讨论的各种各样的注入式攻击。

二、 改进现有的应用程序

如果你想改进一个现有的应用程序,则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示:

function safe( $string ) {

return "'" . mysql_real_escape_string( $string ) . "'"

}

【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来,就可以使用这个函数来构造一个$query变量,如下所示:

$variety = safe( $_POST['variety'] );

$query = " SELECT * FROM wines WHERE variety=" . $variety;

现在,你的用户试图进行一个注入式攻击-通过输入下列内容作为变量$variety的值:

lagrein' or 1=1;

注意,如果不进行上面的"清理",则最后的查询将如下所示(这将导致无法预料的结果):

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

然而现在,既然用户的输入已经被清理,那么查询语句就成为下面这样一种无危害的形式:

SELECT * FROM wines WHERE variety = 'lagrein\' or 1=1\;'

既然数据库中不存在与指定的值相应的variety域(这正是恶意用户所输入的内容-lagrein' or 1=1;),那么,这个查询将不能返回任何结果,并且注入将会失败。

三、 保护一个新的应用程序

如果你正在创建一个新的应用程序,那么,你可以从头开始创建一个安全抽象层。如今,PHP 5新改进的对于MySQL的支持(这主要体现在新的mysqli扩展中)为这种安全特征提供了强有力的支持(既有过程性的,也有面向对象特征的)。你可以从站点http://php.net/mysqli上获取有关mysqli的信息。注意,只有当你使用--with-mysqli=path/to/mysql_config选项编译PHP时,这种mysqli支持才可用。下面是该代码的一个过程性版本,用于保护一个基于mysqli的查询:

<?php

//检索用户的输入

$animalName = $_POST['animalName'];

//连接到数据库

$connect = mysqli_connect( 'localhost', 'username', 'password', 'database' );

if ( !$connect ) exit( 'connection failed: ' . mysqli_connect_error() );

//创建一个查询语句源

$stmt = mysqli_prepare( $connect,"SELECT intelligence FROM animals WHERE name = ?" );

if ( $stmt ) {

//把替代绑定到语句上

mysqli_stmt_bind_param( $stmt, "s", $animalName );

//执行该语句

mysqli_stmt_execute( $stmt );

//检索结果...

mysqli_stmt_bind_result( $stmt, $intelligence );

// ...并显示它

if ( mysqli_stmt_fetch( $stmt ) ) {

print "A $animalName has $intelligence intelligence.\n";

} else {

print 'Sorry, no records found.';

}

//清除语句源

mysqli_stmt_close( $stmt );

}

mysqli_close( $connect );

?>

该mysqli扩展提供了一组函数用于构造和执行查询。而且,它也非常准确地提供了前面使用我们自己的safe()函数所实现的功能。

在上面的片断中,首先收集用户提交的输入内容并建立数据库连接。然后,使用mysqli_prepare()函数创建一个查询语句源-在此命名为$stmt以反映使用它的函数的名称。这个函数使用了两个参数:连接资源和一个字符串(每当你使用扩展插入一个值时,"?"标记被插入到其中)。在本例中,你仅有一个这样的值-动物的名字。

注意,在一个SELECT语句中,放置"?"标记的唯一的有效位置是在值比较部分。这正是为什么你不需要指定使用哪个变量的原因(除了在mysqli_stmt_bind_param()函数中之外)。在此,你还需要指定它的类型-在本例中,"s"代表字符串。其它可能的类型有:"I"代表整数,"d"代表双精度数(或浮点数),而"b"代表二进制字符串。

函数mysqli_stmt_execute(),mysqli_stmt_bind_result()和mysqli_stmt_fetch()负责执行查询并检索结果。如果存在检索结果,则显示它们;如果不存在结果,则显示一条无害的消息。最后,你需要关闭$stmt资源以及数据库连接-从内存中对它们加以释放。

假定一个合法的用户输入了字符串"lemming",那么这个例程将(假定是数据库中适当的数据)输出消息"A lemming has very low intelligence."。假定存在一个尝试性注入-例如"lemming' or 1=1;",那么这个例程将打印(无害)消息"Sorry, no records found."。

此外,mysqli扩展还提供了一个面向对象版本的相同的例程。下面,我们想说明这种版本的使用方法。

<?php

$animalName = $_POST['animalName'];

$mysqli = new mysqli( 'localhost', 'username', 'password', 'database');

if ( !$mysqli ) exit( 'connection failed: ' . mysqli_connect_error() );

$stmt = $mysqli->prepare( "SELECT intelligence

FROM animals WHERE name = ?" );

if ( $stmt ) {

$stmt->bind_param( "s", $animalName );

$stmt->execute();

$stmt->bind_result( $intelligence );

if ( $stmt->fetch() ) {

print "A $animalName has $intelligence intelligence.\n";

} else {

print 'Sorry, no records found.';

}

$stmt->close();

}

$mysqli->close();

?>

实际上,这部分代码是前面描述代码的复制-它使用了一种面向对象的语法和组织方法,而不是严格的过程式代码。

四、 更高级的抽象

如果你使用外部库PearDB,那么,你可以对应用程序的安全保护模块进行全面的抽象。

另一方面,使用这个库存在一个突出的缺点:你只能受限于某些人的思想,而且代码管理方面也添加了大量的工作。为此,在决定是否使用它们之前,你需要进行仔细地斟酌。如果你决定这样做,那么,你至少确保它们能够真正帮助你"清理"你的用户输入的内容。

五、 测试你的注入式保护能力

正如我们在前面所讨论的,确保你的脚本安全的一个重要的部分是对它们进行测试。为此,最好的办法是你自己创建SQL代码注入测试。

在此,我们提供了一个这种测试的示例。在本例中,我们测试对一个SELECT语句的注入式攻击。

<?php

//被测试的保护函数

function safe( $string ) {

return "'" . mysql_real_escape_string( $string ) . "'"

}

//连接到数据库

///////////////////////

//试图进行注入

///////////////////////

$exploit = "lemming' AND 1=1;";

//进行清理

$safe = safe( $exploit );

$query = "SELECT * FROM animals WHERE name = $safe";

$result = mysql_query( $query );

//测试是否保护是足够的

if ( $result && mysql_num_rows( $result ) == 1 ) {

exitt "Protection succeeded:\n

exploit $exploit was neutralized.";

}

else {

exit( "Protection failed:\n

exploit $exploit was able to retrieve all rows." );

}

?>

如果你想创建这样的一个测试集,并试验基于不同的SQL命令的各种不同的注入,那么,你将会很快地探测出你的保护策略中的任何漏洞。一旦纠正这些问题,那么,你就可以很有把握-你已经建立起真正的注入式攻击保护机制。

六、 小结

在本系列文章一开始,我们通过一个SQL注入讨论分析了对你的脚本的特定威胁-由不恰当的用户输入所致。之后,我们描述了SQL注入的工作原理并精确地分析了PHP是怎样易于被注入的。然后,我们提供了一个实际中的注入示例。之后,我们推荐一系列措施来使试图的注入攻击变为无害的-这将分别通过确保使所有提交的值以引号封闭,通过检查用户提交值的类型,以及通过过滤掉你的用户输入的潜在危险的字符等方法来实现的。最后,我们推荐,你最好对你的校验例程进行抽象,并针对更改一个现有应用程序提供了脚本示例。然后,我们讨论了第三方抽象方案的优缺点。

全文完

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有