PHPSQL注入

什么是SQL注入？

就是经过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 
例如一个简单的登陆表单（这里把密码写成明文方便说明）： 
 
当在表单中填写这样的语句进行提交登陆时会出现这样的SQL语句

select * from t_admin where admin_name='xxx' and admin_pwd='xxx'' or '1'

这样会查询出全部的用户信息，全部存在不安全隐患

经常使用的SQL注入方式

下面看看一些经常使用例测试的SQL注入语句。

1. 使用单引号及or关键字

SELECT * FROM Users WHERE Username='$username' AND Password='$password' 


咱们针对上面的SQL语句分析，发现若是用下面的测试数据就可以进行SQL注入了 
引用 

username=1′or′1′=′1password=1’or’1’=’1 

看看整个SQL查询语句变成： 
引用


SELECT * FROM Users WHERE Username='1' OR '1'='1' AND Password='1'OR '1'='1' 


假设参数值是经过GET方法传递到服务器的，且域名为www.example.com 那么咱们的访问请求就是： 
引用 

　　http://www.example.com/index.php?username=1‘%20or%20’1’%20=%20’1password=1’%20or%20’1’%20=%20’1 

 对上面的SQL语句做简单分析后咱们就知道因为该语句永远为真，因此确定会返回一些数据，在这种状况下实际上并未验证用户名和密码，而且在某些系统中，用户表的第一行记录是管理员，那这样形成的后果则更为严重。

2. 使用括号



另一个查询的例子以下： 引用 



SELECT * FROM Users WHERE((Username='$username')AND(Password=MD5('$password'))) 


在这个例子中，存在两个问题，一个是括号的用法，还有一个是MD5哈希函数的用法。对于第一个问题，咱们很容找出缺乏的右括号解决，对于第二个问题，咱们能够想办法使第二个条件失效。咱们在查询语句的最后加上一个注释符以表示后面的都是注释，常见的注释起始符是/*（在Oracle中是–），也就是说，咱们用以下的用户名和密码： 
引用 

username=1′or′1′=′1′))/∗password = foo 

那么整条SQL语句就变为： 
引用


  SELECT * FROM Users WHERE(( Username='1'or '1'='1'))/*')AND (Password=MD5('$password'))) 



那么看看URL请求就变为： 
引用 

http://www.example.com/index.php?username=1‘%20or%20’1’%20=%20’1’))/*&password=foo 

#####3.Union查询SQL注入测试 
 


Union查询SQL注入测试 
 还有一种测试是利用Union的，利用Union能够链接查询，从而从其余表中获得信息，假设以下查询： 
引用


  SELECT Name, Phone, Address FROM Users WHERE Id=$id 


而后咱们设置id的值为： 
引用 

$id =1 UNION ALL SELECT creditCardNumber,1,1 FROM CreditCarTable 

那么总体的查询就变为： 
引用


SELECT Name, Phone,Address FROM Users WHERE Id=1 UNION ALL SELECT creaditCardNumber,1,1 FROM CreditCarTable 


显示这就能获得全部信用卡用户的信息。 

盲目SQL注入测试 
 在上面咱们提到过盲SQL注入，即bind SQL Injection,它意味着对于某个操做咱们得不到任何信息，一般这是因为程序员已经编写了特定的出错返回页面，从而隐藏了数据库结构的信息。 

 但利用推理方法，有时候咱们可以恢复特定字段的值。这种方法一般采用一组对服务器的布尔查询，依据返回的结果来推断结果的含义。仍然延续上面的www.example.com有一个参数名为id， 那么咱们输入如下url请求： 
引用 

 http://www.exampe.com/index.php?id=1’ 

显然因为语法错误，咱们会获得一个预先定义好的出错页面，假设服务器上的查询语句为 
引用 

SELECT field1,field2,field3 FROM Users WHERE Id=’Id′假设我们想要的带哦用户名字段的值，那么通过一些函数，我们就可以逐字符的读取用户名的值。在这里我们使用以下的函数：引用
SUBSTRING(text,start,length),ASCII(char),LENGTH(text)
我们定义id为：引用Id=1’ AND ASCII(SUBSTRING(username,1,1))=97 AND ‘1’=’1 

那么最终的SQL查询语句为： 
引用 



SELECT field1,field2,field3 FROM Users WHERE Id='1' AND ASCII(SUBSTRING(username,1,1))=97 AND '1'='1' 


那么，若是在数据库中有用户名的第一字符的ASCII码为97的话，那么咱们就能获得一个真值u，那么就继续寻找该用户名的下一个字符；若是没有的话，那么咱们就增猜想第一个字符的ASCII码为98的用户名，这样反复下去就能判断出合法的用户名

经常使用SQL注入的解决方案

1.添加图形码进行验证

添加图形码在必定程序上增长代码的安全性，给机器强制破解有必定的拦截做用，但不能阻止全部的攻击，故仍是须要在程序上进行安全性考虑

2.使用预备义语句和参数化查询

使用预处理语句和参数化查询。预处理语句和参数分别发送到数据库服务器进行解析，参数将会被看成普通字符处理。这种方式使得攻击者没法注入恶意的SQL。经常使用的方式有两种

2.1 使用PDO(PHP Data Objects )

$stmt = $pdo->prepare('SELECT * FROM t_admin WHERE admin_name = :name'); $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something with $row }

注意，在默认状况使用PDO并无让MySQL数据库执行真正的预处理语句（缘由见下文）。为了解决这个问题，你应该禁止PDO模拟预处理语句。一个正确使用PDO建立数据库链接的例子以下

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

2.2 使用MySQLi

$stmt = $dbConnection->prepare('SELECT * FROM t_admin WHERE admin_name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }

3.对用户传递的参数进行处理

咱们知道Web上提交数据有两种方式，一种是get、一种是post，那么不少常见的sql注射就是从get方式入手的，并且注射的语句里面必定是包含一些sql语句的，由于没有sql语句，那么如何进行，sql语句有四大句：select 、update、delete、insert，那么咱们若是在咱们提交的数据中进行过滤是否是可以避免这些问题呢？ 
因而咱们使用正则就构建以下函数：

<?php function inject_check($sql_str) { return eregi('select|insert|update|delete|'); } function verify_id($id=null) { if (!$id) { exit('没有提交参数！'); } // 是否为空判断 elseif (inject_check($id)) { exit('提交的参数非法！'); } // 注射判断 elseif (!is_numeric($id)) { exit('提交的参数非法！'); } // 数字判断 $id = intval($id); // 整型化 return $id; } ?>

那么咱们就可以进行校验了，因而咱们上面的程序代码就变成了下面的：

<?php if (inject_check($_GET['id'])) { exit('你提交的数据非法，请检查后从新提交！'); } else { $id = verify_id($_GET['id']); // 这里引用了咱们的过滤函数，对$id进行过滤 echo '提交的数据合法，请继续！'; } ?>

好，问题到这里彷佛都解决了，可是咱们有没有考虑过post提交的数据，大批量的数据呢？ 
好比一些字符可能会对数据库形成危害，好比 ’ _ ‘, ’ %’，这些字符都有特殊意义，那么咱们若是进行控制呢？还有一点，就是当咱们的php.ini里面的magic_quotes_gpc = off的时候，那么提交的不符合数据库规则的数据都是不会自动在前面加’ ‘的，那么咱们要控制这些问题，因而构建以下函数：

<?php function str_check( $str ) { if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开 { $str = addslashes($str); // 进行过滤 } $str = str_replace("_", "\_", $str); // 把 '_'过滤掉 $str = str_replace("%", "\%", $str); // 把' % '过滤掉 return $str; } ?>

最后，再考虑提交一些大批量数据的状况，好比发贴，或者写文章、新闻，咱们须要一些函数来帮咱们过滤和进行转换，再上面函数的基础上，对提交的数据进行引号转义及将HTML标签转换成HTML实体，能够构建以下函数：

<?php function post_check($post) { if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开 { $post = addslashes($post); // 进行magic_quotes_gpc没有打开的状况对提交数据的过滤 } $post = str_replace("_", "\_", $post); // 把 '_'过滤掉 $post = str_replace("%", "\%", $post); // 把' % '过滤掉 $post = nl2br($post); // 回车转换 $post= htmlspecialchars($post); // html标记转换 return $post; } ?>

或者根据API文档中的：
TP框架防止sql注入：

对于WEB应用来讲，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面自己进行了不少的处理和相应的防范机制，例如：

1. $User = M("User"); // 实例化User对象
2. $User->find($_GET["id"]);

即使用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是由于，系统会对数据进行强制的数据类型检测，而且对数据来源进行数据格式转换。并且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)，若是你采用PDO方式的话，还支持参数绑定。

一般的安全隐患在于你的查询条件使用了字符串参数，而后其中一些变量又依赖由客户端的用户输入。

要有效的防止SQL注入问题，咱们建议：

• 查询条件尽可能使用数组方式，这是更为安全的方式；
• 若是不得已必须使用字符串查询条件，使用预处理机制；
• 使用自动验证和自动完成机制进行针对应用的自定义过滤；
• 若是环境容许，尽可能使用PDO方式，并使用参数绑定。

查询条件预处理

where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：

1. $Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
2. // 或者
3. $Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

模型的query和execute方法 一样支持预处理机制，例如：

1. $model->query('select * from user where id=%d and status=%d',$id,$status);
2. //或者
3. $model->query('select * from user where id=%d and status=%d',array($id,$status));

execute方法用法同query方法。