仓酷云

标题: PHP编程：PHP+SQL 注入进击的手艺完成和预防办... [打印本页]

---

作者: 若相依    时间: 2015-2-3 23:39
标题: PHP编程：PHP+SQL 注入进击的手艺完成和预防办...
熟悉了PHP和MYSQL开发的要领之后，再回头看你写的那个留言本，你也许会怀疑那真的是你写的吗?当然，如果屋里还有鬼的话，也许是它写的-_-   1. php 设置装备摆设文件 php.ini 中的 magic_quotes_gpc 选项没有翻开，被置为 off
2. 开辟者没有对数据类型停止反省和本义
　　不外现实上，第二点最为主要。我以为, 对用户输出的数据类型停止反省，向 MYSQL 提交准确的数据类型，这应当是一个 web 法式员最最根基的本质。但实际中，经常有很多小白式的 Web 开辟者忘了这点, 从而招致后门大开。
　　为何说第二点最为主要？由于假如没有第二点的包管，magic_quotes_gpc 选项，不管为 on，仍是为 off，都有能够激发 SQL 注入进击。上面来看一下手艺完成：
　一. magic_quotes_gpc = Off 时的注入进击
　　magic_quotes_gpc = Off 是 php 中一种十分不平安的选项。新版本的 php 已将默许的值改成了 On。但仍有相当多的办事器的选项为 off。究竟，再古玩的办事器也是有人用的。
　　当magic_quotes_gpc = On　时，它会将提交的变量中一切的 '(单引号)、"(双号号)、\(反斜线)、空白字符，都为在后面主动加上 \。上面是 php 的官方申明：
复制代码 代码以下:
magic_quotes_gpc boolean
Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When magic_quotes are on, all ' (single-quote), " (double quote), \ (backslash) and NUL's are escaped with a backslash automatically

假如没有本义，即 off 情形下，就会让进击者有隙可乘。以以下测试剧本为例：
复制代码 代码以下:
<?
if ( isset($_POST["f_login"] ) )
{
// 毗连数据库...
// ...代码略...

// 反省用户是不是存在
$t_strUname = $_POST["f_uname"];
$t_strPwd = $_POST["f_pwd"];
$t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";

if ( $t_hRes = mysql_query($t_strSQL) )
{
// 胜利查询以后的处置. 略...
}
}
?>
<html><head><title>sample test</title></head>
<body>
<form method=post action="">
Username: <input type="text" name="f_uname" size=30><br>
Password: <input type=text name="f_pwd" size=30><br>

<input type="submit" name="f_login" value="登录">
</form>
</body>

在这个剧本中，当用户输出正常的用户名和暗码，假定值分离为 zhang3、abc123，则提交的 SQL 语句以下：
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3' AND password = 'abc123' LIMIT 0,1

假如进击者在 username 字段中输出：zhang3' OR 1=1 #，在 password 输出 abc123，则提交的 SQL 语句酿成以下：
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3' OR 1=1 #' AND password = 'abc123' LIMIT 0,1

因为 # 是 mysql中的正文符, #以后的语句不被履行，完成上这行语句就成了：
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3' OR 1=1

如许进击者就能够绕过认证了。假如进击者晓得数据库布局，那末它构建一个 UNION SELECT，那就更风险了：
　　假定在 username 中输出：zhang3 ' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #
　　在password 输出: abc123，
　　则提交的 SQL 语句酿成：
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3 '
OR 1 =1 UNION select cola, colb,cold FROM tbl_b #' AND password = 'abc123' LIMIT 0,1

如许就相当风险了。假如agic_quotes_gpc选项为 on，引号被本义，则下面进击者构建的进击语句就会酿成如许，从而没法到达其目标：
复制代码 代码以下:
SELECT * FROM tbl_users
WHERE username='zhang3\' OR 1=1 #'
AND password = 'abc123'
LIMIT 0,1
SELECT * FROM tbl_users
WHERE username='zhang3 \' OR 1 =1 UNION select cola, colb,cold FROM tbl_b #'
AND password = 'abc123' LIMIT 0,1

二. magic_quotes_gpc = On 时的注入进击
　　当 magic_quotes_gpc = On 时，进击者没法对字符型的字段停止 SQL 注入。这其实不代表这就平安了。这时候，可以经由过程数值型的字段停止SQL注入。
　　在最新版的 MYSQL 5.x 中，已严厉了数据类型的输出，已默许封闭主动类型转换。数值型的字段，不克不及是引号标志的字符型。也就是说，假定 uid 是数值型的，在之前的 mysql 版本中，如许的语句是正当的：
复制代码 代码以下:
INSERT INTO tbl_user SET uid="1";
SELECT * FROM tbl_user WHERE uid="1";

在最新的 MYSQL 5.x 中，下面的语句不是正当的，必需写成如许：
复制代码 代码以下:
INSERT INTO tbl_user SET uid=1;
SELECT * FROM tbl_user WHERE uid=1;

如许我以为是准确的。由于作为开辟者，向数据库提交准确的合适划定规矩的数据类型，这是最根基的请求。
　　那末进击者在 magic_quotes_gpc = On 时，他们怎样进击呢？很复杂，就是对数值型的字段停止 SQL 注入。以以下的 php 剧本为例：
复制代码 代码以下:
<?
if ( isset($_POST["f_login"] ) )
{
// 毗连数据库...
// ...代码略...
// 反省用户是不是存在
$t_strUid = $_POST["f_uid"];
$t_strPwd = $_POST["f_pwd"];
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";
if ( $t_hRes = mysql_query($t_strSQL) )
{
// 胜利查询以后的处置. 略...
}
}
?>
<html><head><title>sample test</title></head>
<body>
<form method=post action="">
User ID: <input type="text" name="f_uid" size=30><br>
Password: <input type=text name="f_pwd" size=30><br>
<input type="submit" name="f_login" value="登录">
</form>
</body>

下面这段剧本请求用户输出 userid 和 password 登入。一个正常的语句，用户输出 1001和abc123，提交的 sql 语句以下：
SELECT * FROM tbl_users WHERE userid=1001 AND password = 'abc123' LIMIT 0,1
　　假如进击者在 userid 处，输出：1001 OR 1 =1 #，则注入的sql语句以下：
SELECT * FROM tbl_users WHERE userid=1001 OR 1 =1 # AND password = 'abc123' LIMIT 0,1
　　进击者到达了目标。
　三. 若何避免 PHP SQL 注入进击
　　若何避免 php sql 注入进击？我以为最主要的一点，就是要对数据类型停止反省和本义。总结的几点划定规矩以下：
php.ini 中的 display_errors 选项，应当设为　display_errors = off。如许 php 剧本失足以后，不会在 web 页面输入毛病，以避免让进击者剖析出有作的信息。
挪用 mysql_query 等 mysql 函数时，后面应当加上 @，即 @mysql_query(...)，如许 mysql 毛病不会被输入。同理以避免让进击者剖析出有效的信息。别的，有些法式员在做开辟时，当 mysql_query失足时，习气输入毛病和 sql 语句，例如：
复制代码 代码以下:
$t_strSQL = "SELECT a from b....";
if ( mysql_query($t_strSQL) )
{
// 准确的处置
}
else
{
echo "毛病! SQL 语句：$t_strSQL \r\n毛病信息".mysql_query();
exit;
}

这类做法是相当风险和愚昧的。假如必定要这么做，最好在网站的设置装备摆设文件中，设一个全局变量或界说一个宏，设一下 debug 标记：
复制代码 代码以下:
全局设置装备摆设文件中：
define("DEBUG_MODE",0); // 1: DEBUG MODE; 0: RELEASE MODE
//挪用剧本中：
$t_strSQL = "SELECT a from b....";
if ( mysql_query($t_strSQL) )
{
// 准确的处置
}
else
{
if (DEBUG_MODE)
echo "毛病! SQL 语句：$t_strSQL \r\n毛病信息".mysql_query();
exit;
}

对提交的 sql 语句，停止本义和类型反省。
　四. 我写的一个平安参数获得函数
　　为了避免用户的毛病数据和 php + mysql 注入 ，我写了一个函数 PAPI_GetSafeParam()，用来获得平安的参数值：
复制代码 代码以下:
define("XH_PARAM_INT",0);
define("XH_PARAM_TXT",1);
function PAPI_GetSafeParam($pi_strName, $pi_Def = "", $pi_iType = XH_PARAM_TXT)
{
if ( isset($_GET[$pi_strName]) )
$t_Val = trim($_GET[$pi_strName]);
else if ( isset($_POST[$pi_strName]))
$t_Val = trim($_POST[$pi_strName]);
else
return $pi_Def;
// INT
if ( XH_PARAM_INT == $pi_iType)
{
if (is_numeric($t_Val))
return $t_Val;
else
return $pi_Def;
}
// String
$t_Val = str_replace("&", "&",$t_Val);
$t_Val = str_replace("<", "<",$t_Val);
$t_Val = str_replace(">", ">",$t_Val);
if ( get_magic_quotes_gpc() )
{
$t_Val = str_replace("\\\"", """,$t_Val);
$t_Val = str_replace("\\''", "'",$t_Val);
}
else
{
$t_Val = str_replace("\"", """,$t_Val);
$t_Val = str_replace("'", "'",$t_Val);
}
return $t_Val;
}

在这个函数中，有三个参数：
复制代码 代码以下:
$pi_strName: 变量名
$pi_Def: 默许值
$pi_iType: 数据类型。取值为 XH_PARAM_INT, XH_PARAM_TXT, 分离暗示数值型和文本型。

假如恳求是数值型，那末挪用 is_numeric() 判别是不是为数值。假如不是，则前往法式指定的默许值。
　　复杂起见，关于文本串，我将用户输出的一切风险字符（包含HTML代码），全体本义。因为 php 函数 addslashes()存在破绽，我用 str_replace()直代替换。get_magic_quotes_gpc() 函数是 php 的函数，用来判别 magic_quotes_gpc 选项是不是翻开。
　　方才第二节的示例，代码可以如许挪用：
复制代码 代码以下:
<?
if ( isset($_POST["f_login"] ) )
{
// 毗连数据库...
// ...代码略...
// 反省用户是不是存在
$t_strUid = PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT);
$t_strPwd = PAPI_GetSafeParam("f_pwd", "", XH_PARAM_TXT);
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";
if ( $t_hRes = mysql_query($t_strSQL) )
{
// 胜利查询以后的处置. 略...
}
}
?>

如许的话，就已相当平安了。PAPI_GetSafeParam的代码有点长，但就义这点效力，对包管平安，是值得的。但愿人人多品评斧正。：）
实现固定数量的几张图片的上传；再如调试软件ZendStudio的使用，看了很多次老师的应用，但总感觉用的不顺手，不懂那么多的数据值，到底哪一个才是真正的问题所在；还有如数据库语句的封装，我只会用简单的函数来进行封装。

---

作者: 老尸    时间: 2015-2-4 04:48
对于初学者来说不推荐去拿钱买的。当然如果一个网站你经常去用，而且里面的资料也比较有用，最好还是买个会员比较好，毕竟那些也是别人的工作成果。

---

作者: 飘灵儿    时间: 2015-2-9 15:52
对于懒惰的朋友，我推荐php的集成环境xampp或者是wamp。这两个软件安装方便，使用简单。但是我还是强烈建议自己动手搭建开发环境。

---

作者: 再现理想    时间: 2015-2-16 11:19
真正的方向了，如果将来要去开发团队，你一定要学好smarty ,phplib这样的模板引擎，

---

作者: 若相依    时间: 2015-3-3 01:05
基础有没有对学习php没有太大区别，关键是兴趣。

---

作者: 只想知道    时间: 2015-3-11 08:02
刚开始安装php的时候，我图了个省事，把php的扩展全都打开啦（就是把php.ini 那一片 extension 前面的冒号全去掉啦），这样自然有好处，以后不用再需要什么功能再来打开。

---

作者: 谁可相欹    时间: 2015-3-17 23:38
要进行开发，搭建环境是首先需要做的事，windows下面我习惯把环境那个安装在C盘下面，因为我配的环境经常出现诡异事件，什么事都没做环境有的时候就不能用啦。

---

作者: 飘飘悠悠    时间: 2015-3-23 22:59
基础有没有对学习php没有太大区别，关键是兴趣。

---

作者: 小妖女    时间: 2015-4-6 01:09
如果你已经到这种程度了，那么你已经可以做我的老师了。其实php也分很多的区域，

---

作者: 不帅    时间: 2015-4-10 16:54
我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。

---

作者: 第二个灵魂    时间: 2015-4-12 16:49
环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候，我强烈建议多读php手册。

---

作者: 透明    时间: 2015-4-13 07:14
当留言板完成的时候，下步可以把做1个单人的blog程序，做为目标，

---

作者: 兰色精灵    时间: 2015-4-16 16:48
php是动态网站开发的优秀语言，在学习的时候万万不能冒进。在系统的学习前，我认为不应该只是追求实现某种效果，因为即使你复制他人的代码调试成功，实现了你所期望的效果，你也不了解其中的原理。

---

作者: admin    时间: 2015-4-26 05:10
其实也不算什么什么心得，在各位大侠算是小巫见大巫了吧，望大家不要见笑，若其中有错误的地方请各位大虾斧正。

---

作者: 深爱那片海    时间: 2015-5-1 20:23
本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。

---

作者: 冷月葬花魂    时间: 2015-5-6 21:09
兴趣是最好的老师，百度是最好的词典。

---

作者: 小女巫    时间: 2015-6-6 21:10
我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。

---

作者: 小魔女    时间: 2015-6-8 14:50
有位前辈曾经跟我说过，phper 至少要掌握200个函数 编起程序来才能顺畅点，那些不熟悉的函数记不住也要一拿手册就能找到。所以建议新手们没事就看看php的手册（至少array函数和string函数是要记牢的）。

---

作者: 乐观    时间: 2015-6-25 16:09
环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候，我强烈建议多读php手册。

---

作者: 金色的骷髅    时间: 2015-7-3 00:13
当留言板完成的时候，下步可以把做1个单人的blog程序，做为目标，

---

作者: 活着的死人    时间: 2015-7-7 15:01
我要在声明一下：我是个菜鸟！！我对php这门优秀的语言也是知之甚少。但是我要在这里说一下php在网站开发中最常用的几个功能：

---

欢迎光临 仓酷云 (http://ckuyun.com/)

Powered by Discuz! X3.2