在本系列文章中, 我们将全面探讨如何在PHP 开发环境中全面阻止SQL注入式攻 击,并给出一个具体的开发示例。
一、 引言
PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多 的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服 务的秘密和安全方面却常常存在许多困难。在本系列文章中,我们将向读者介绍 进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你 自己的web应用程序的安全性和一致性。首先,我羌虻サ鼗毓艘幌路 衿靼踩 侍?展示你如何存取一个共享宿主环境下的私人信息,使开发者脱离开生产服务 器,维持最新的软件,提供加密的频道,并且控制对你的系统的存取。
然后,我们讨论PHP脚本实现中的普遍存在的脆弱性。我们将解释如何保护 你的脚本免于SQL注入,防止跨站点脚本化和远程执行,并且阻止对临时文件及 会话的"劫持"。
在最后一篇中,我们将实现一个安全的Web应用程序。你将学习如何验证用 户身份,授权并跟踪应用程序使用,避免数据损失,安全地执行高风险性的系统 命令,并能够安全地使用web服务。无论你是否有足够的PHP安全开发经验,本 系列文章都会提供丰富的信息来帮助你构建更为安全的在线应用程序。
二、 什么是SQL注入
如果你打算永远不使用某些数据的话, 那么把它们存储于一个数据库是毫无 意义的; 因为数据库的设计目的是为了方便地存取和操作数据库中的数据。 但是, 如果只是简单地这样做则有可能会导致潜在的灾难。 这种情况并不主要是因为你 自己可能偶然删除数据库中的一切;而是因为,当你试图完成某项"无辜"的任务 时, 你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。 我们称这种取代为"注入"。
其实,每当你要求用户输入构造一个数据库查询,你是在允许该用户参与构 建一个存取数据库服务器的命令。 一位友好的用户可能对实现这样的操作感觉很 满意;然而,一位恶意的用户将会试图发现一种方法来扭曲该命令,从而导致该 被的扭曲命令删除数据,甚至做出更为危险的事情。作为一个程序员,你的任务 是寻一种方法来避免这样的恶意攻击。
三、 SQL注入工作原理
构造一个数据库查询是一个非常直接的过程。典型地,它会遵循如下思路来 实现。仅为说明问题,我们将假定你有一个葡萄酒数据库表格"wines",其中有 一个字段为"variety"(即葡萄酒类型):
1. 提供一个表单-允许用户提交某些要搜索的内容。 让我们假定用户选择搜 索类型为"lagrein"的葡萄酒。
2. 检索该用户的搜索术语, 并且保存它-通过把它赋给一个如下所示的变量 来实现:
$variety = $_POST['variety'];
因此,变量$variety的值现在为:
lagrein
3. 然后,使用该变量在WHERE子句中构造一个数据库查询:
$query = "SELECT * FROM wines WHERE variety='$variety'";cookie阻止好还是不阻止好
所以,变量$query的值现在如下所示:
SELECT * FROM wines WHERE variety='lagrein'
4. 把该查询提交给MySQL服务器。
5. MySQL返回wines表格中的所有记录-其中,字段variety的值为 "lagrein"。
到目前为止,这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是,有时 我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在,让我们再重 新分析一下刚才构建的查询。
1. 你创建的这个查询的固定部分以一个单引号结束,你将使用它来描述变 量值的开始:
$query = " SELECT * FROM wines WHERE variety = '";
2. 使用原有的固定不变的部分与包含用户提交的变量的值:
$query .= $variety;
3. 缓螅 闶褂昧硪桓龅ヒ 爬戳 哟私峁?描述该变量值的结束:
$ query .= "'";
于是,$query的值如下所示:
SELECT * FROM wines WHERE variety = 'lagrein'
这个构造的成功依赖用户的输入。在本文示例中,你正在使用单个单词(也
可能是一组单词)来指明一种葡萄酒类型。因此,该查询的构建是无任何问题的, 并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在, 让我们想象, 既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型, 而是输入了下列内容(注意包括其中的两个标点符号):
lagrein' or 1=1;
现在, 你继续使用前面固定的部分来构造你的查询(在此, 我们仅显示$query 变量的结果值):
SELECT * FROM wines WHERE variety = '
然后,你使用包含用户输入内容的变量的值与之进行连接(在此,以粗体显 示):
SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;
最后,添加上下面的下引号:
SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'
于是,这个查询结果与你的期望会相当不同。事实上,现在你的查询包含的 不是一条而是两条指令,因为用户输入的最后的分号已经结束了第一条指令(进 行记录选择)从而开始了一条新的指令。在本例中,第二条指令,除了一个简单 的单引号之外别无意义;但是,第一条指令也不是你所想实现的。当用户把一个 单引号放到他的输入内容的中间时,他结束了期望的变量的值,并且引入了另一 个条件。因此,不再是检索那些variety为"lagrein"的记录,而是在检索那些 满足两个标准中任何一个(第一个是你的,而第二个是他的-variety为 "lagrein"或1等于1)的记录。既然1总是1,因此,你会检索到所有的记录!
你可能反对: 我不会使用双引号来代替单引号来描述用户提交的变量吗?不 错,这至少可以减慢恶意
用户的攻击。(在以前的文章中,我们提醒过你:应该 禁止所有对用户的错误通知信息。如果在此生成一条错误消息,那么,它有可能 恰恰帮助了攻击者-提供一个关于他的攻击为什么失败的具体的解释。)
在实践中, 使你的用户能够看到所有的记录而不只是其中的一部分乍看起来 似乎不太费事,但实际上,这的确费事不少;看到所有的记录能够很容易地向他 提供有关于该表格的内部结构, 从而也就向他提供了使其以后实现更为恶毒目的 的一个重要参考。 如果你的数据库中不是包含显然无害的酒之类信息而是包含例 如一个含有雇员年收入的列表,那么,刚才描述情形会是特别真实的。
而从理论角度分析,这种攻击也的确是一件很可怕的事情。由于把意外的内 容注入到你的查询中,所以,此用户能够实现把你的数据库存取转化为用于实现 他自己的目的。因此现在,你的数据库已经对他打开-正如对你敞开一样。
四、 PHP和MySQL注入
如我们前面所描述的,PHP,从本身设计来说,并没有做什么特别的事情- 除了按照你的指示操作之外。因此,如果为恶意用户所用,它也只是按照要求" 允许"特别设计的攻击-例如我们前面所描述的那样。
我们将假定, 你不会故意地或甚至是偶然地构造一个具有破坏性效果的数据库查 询-于是,我们假定问
题出在来自你的用户的输入方面。现在,让我们来更为细 致地分析一下用户可能向你的脚本提供信息的各种途径。
五、 用户输入的类型
如今,用户能够影响你的脚本的行为已变得越来越复杂。
用户输入最明显的来源当然是表单上的一个文本输入域。使用这样的一个 域,你简直是在故意教唆一个用户输入任意数据。而且,你向用户提供了一个很 大的输入范围;没有什么办法能够使你提前限制一个用户能够输入的数据类型 (尽管你能够选择限制它的长度)。 这正是绝大多数的注入式攻击源主要来自于无 防备的表单域的原因。
但是,还存在其它的攻击源,并且稍加思考你就会想到的一种潜于表单后台 的技术-POST方法!通过简单地分析显示在浏览器的导航工具栏中的URI,一个 善于观察的用户能够很容易地看出是什么信息传递到了一个脚本。 尽管典型情况 下这样的URI是以编程方式生成的,但是,没有什么办法能够阻止一个恶意的用 户简单地把一个带有一个不适当的变量值的URI输入到一个浏览器中-而这样潜 在地打开一个可能会被其滥用的数据库。
限制用户输入内容的一个常用策略是在一个表单中提供一个选择框, 而不是 一个输入框。这种控件能
够强制用户从一组预定义的值中进行选择,并且能够在 一定程度上阻止用户输入期望不到的内容。 但是正如一个攻击者可能"哄骗"一个 URI(也即是,创建一个能够模仿一个可信任的却无效的URI)一样,他也可能模 仿创建你的表单及其自己的版本, 并因此在选项框中使用非法的而不是预定义的
安全选择。要实现这点是极其简单的;他仅需要观察源码,然后剪切并且粘贴该 表单的源代码-然后一切为他敞开大门。
在修改该选择之后,他就能够提交表单,并且他的无效的指令就会被接受, 就象它们是原始的指令一样。因此,该用户可以使用许多不同的方法试图把恶意 的代码注入到一个脚本中。
上篇文章我们介绍了PHP中防止SQL注入式攻击一,本文我们来继续学习, php防SQL注入式攻击。
一、注入式攻击的类型
可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。 这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文 后面,我们会对此作详细讨论。
如果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个 表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中, 如 下所示(其中,注入部分以粗体显示):
SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'
正如我们在前面所讨论的,这本身可能是很有用的信息,因为它揭示了该表 格的一般结构(这是一条普通的记录所不能实现的), 以及潜在地显示包含机密信 息的记录。
一条更新指令潜在地具有更直接的威胁。通过把其它属性放到SET子句中, 一名攻击者可以修改当前被更新的记录中的任何字段,例如下面的例子(其中, 注入部分以粗体显示):
UPDATE wines SET type='red','vintage'='9999' WHERE variety = 'lagrein' 通过把一个例如1=1这样的恒真条件添加到一条更新指令的WHERE子句中, 这种修改范围可以扩展到每一条记录,例如下面的例子(其中,注入部分以粗体 显示):
UPDATE wines SET type='red','vintage'='9999 WHERE variety = 'lagrein' OR 1=1;'

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。