PHP 5.3.6及之前版本的PDO的bindParam,bindValue潜在的安全隐患
PHP 5.3.6及之前版本的PDO的bindParam,bindValue潜在的安全隐患 mysql
使用PDO的参数化查询时,可使用bindParam,bindValue为占位符绑定相应的参数或变量, 咱们每每使用以下格式: 程序员
$statement->bindParam(1, $string); sql
$statement->bindParam(2, $int, PDO::PARAM_INT); 安全
我在之前的文章中分析介绍过PDO的ATTR_EMULATE_PREPARES属性对PDO底层协议与MySQL Server通信机制影响:
函数
1. 默认状况下,PDO会使用DSN中指定的字符集对输入参数进行本地转义(PHP手册中称为native prepared statements),而后拼接成完整的SQL语句,发送给MySQL Server。这有些像咱们平时程序中拼接变量到SQL再执行查询的形式。 spa
这种状况下,PDO驱动可否正确转义输入参数,是拦截SQL注入的关键。然而PHP 5.3.6及老版本,并不支持在DSN中定义charset属性(会忽略之),这时若是使用PDO的本地转义,仍然可能致使SQL注入,解决办法后面会提到。 server
2. MySQL Server 5.1开始支持prepare预编译SQL机制,即SQL查询语句与参数分离提交,但这个特性须要客户端协议支持支持,目前全部版本的PHP均支持。
若是PDO客户端使用mysql Server的prepare功能,大体的交互过程是:
A. PDO将SQL模板发送给mysql server, SQL模板即包含参数占位符(问号或命名参数)的SQL语句 ci
B. PDO不对输入参数做任何转义处理,将参数的位置,值,类型等等信息发送给MySQL Server pdo
C. PDO客户端调用execute statement 字符串
D. MySQL Server 对B步骤提交的参数进行内部转义,并执行查询,返回结果给客户端。
看到没有,若是使用了mysql server prepare功能,则字符串的转义是由MySQL Server完成的。mysql会根据字符集(set names <charset>)对输入参数转换,确保没有注入产生。
PDO默认状况下使用了本地模拟prepare(并未使用MySQL server的prepare),若是要禁止PDO本地模拟行为而使用MySQL Server的prepare机制,则须要设置PDO的参数:
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
若是你使用了PHP 5.3.6及之前版本,强烈推荐使用上述语句增强安全性。
若是你使用PHP 5.3.6+, 则请在DSN中指定 charset,是否设置上述参数,都是安全的。
好了,如今步入正题,假设有如下代码逻辑:
$pdo = new PDO("mysql:host=localhost;dbname=test;charset=utf8",'root','');
$pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE,PDO::FETCH_ASSOC);
$pdo->exec('set names utf8');
$id = '0 or 1 =1 order by id desc';
$sql = "select * from article where id = ?";
$statement = $pdo->prepare($sql);
$statement->bindParam(1, $id, PDO::PARAM_INT);
$statement->execute();
假设$id是外部变量(由其它函数传递,或用户提交),咱们也没有使用intval对这两个参数进行强制类型转换(咱们认为使用PDO绑定参数时已经指定参数类型为INT, 即PDO::PARAM_INT),期待PDO能使用咱们指定的类型对其进行转义,可是事实上呢?却有太多不肯定因素:
1. 以上代码实测在PHP 5.2.1形成了SQL注入
2. 以上代码在PHP 5.3.9下,没有形成任何SQL注入
那么,若是使用了存在bug的PHP版本,那么如何从根本上解决这个问题?
1. 设置PDO不使用本地模拟prepare, 即 $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
这样,即便不使用intval对输入进行转换,也能够确保是安全的。若是因为程序员遗忘没有使用intval转换,那么仍是存在安全隐患的。
使用这种方式,更完全,更安全。
- 1. bindColumn、bindParam与bindValue的区别
- 2. pdo的bindParam()
- 3. 再论php 5.3.6之前版本中的PDO SQL注入漏洞问题
- 4. bindColumn、bindParam与bindValue的区别(转载)
- 5. 线程的安全隐患
- 6. bindParam和bindValue有什么区别?
- 7. STO存在哪些潜在隐患?
- 8. 涨姿势|无线键盘潜在安全隐患分析
- 9. PHP PDO prepare()、execute()和bindParam()方法详解
- 10. 多线程的安全隐患
- 更多相关文章...
- • MySQL的版本以及版本号 - MySQL教程
- • PHP gd_info - 取得当前安装的 GD 库的信息 - PHP参考手册
- • 互联网组织的未来:剖析GitHub员工的任性之源
- • TiDB 在摩拜单车在线数据业务的应用和实践
-
每一个你不满意的现在,都有一个你没有努力的曾经。