危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787766

浅谈PHP防注入

某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起阿D时,却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听危险漫步给各位慢慢道来。

预备查询技术实际上是将不完整的SQL语句(如:select * from xxx where id=?“?”是占位符)预先编译好,驻留于内存中,使用时不断将数据代入占位符并执行的一种技术。使用这种技术本意是想快速运行多个格式相同的SQL语句,但由于语句已经编译好,所以代人数据时就不存在数据与语句相混淆的情况,自然也就可以起到防注入的作用。预备查询技术是新版MySQLi库的亮点之一,在介绍预备查询技术之前,先简单说说MySQLi。

一、运行环境

1、MySQLi库可以链接4.1(含)以上版本的Mysql服务器。

2、MySQLi库为PHP5.0(含)以上版本自带。

二、安装方式

1、windows编辑php.ini,找到:;extension=php_mysqli,dⅡ这一行,去掉分号,保存,重启apache。

2、(类)unix如:(包括但不限于)mac os x,linux, unix等

重新编译php,加上--with-mysqli=/usr/local/mysql/bin/mysql_config

三、改进

1.mysqli可以让程序员以面向对象的方式编写代码,为了做到这一点,可怜的php开发者几乎重写所有代码,在此向他们致敬。

2.mysqli库去掉了一些无用的函数,如:不支持持久连接等。

可以看出,mysqli作出了重大的改进,方便了程序员,下面开始介绍预备查询技术。预备查询技术需要七个环节,涉及六个函数,我们一一为大家讲解。

首先先链接MySQL服务器,然后进行预备查询。

1、预备

函数原型:mysqli_stmt mysqli::prepare(string $query)

注意:$query中要含有占位符,占位符可以占数字,文本等类型的数据,但是不能占表名,列名,数据库名等。其中,当占位符占文本时,不要用引号(例如:应该为where username=?,而不是where username_'?')。根据刚才的介绍,此时就已经编译语句了,自然这里也会有语法检查。

2、绑定变量

函数原型:bool mysqli_stmt::bind_param(string $types, mixed &$varl[, mixed&$…])注意:参数一为文本型,其中定义了各个占位符的类型,i是整型,d是浮点型,s是字符串型,b是blob(例如,预备查询语句中有四个占位符,类型分别是字符串型、字符串型、字符串型、整型,则该参数为:"sssi")。剩下的参数按顺序依次对应预备查询语句中的占位符,变量不需要提前定义。

3、赋值

为第二步中的变量赋值

4、执行

函数原型:bool mysqli_stmt::execute(void)

5、绑定结果

函数原型:bool mysqli_stmt::bind_result (mixed &$varl[,mied&$…])

注意:参数要一一与返回的字段对应,对于无返回数据的查询,如delete,insert等,无需此步和下一步。

6、处理数据

函数原型:bool mysqli_stmt::fetch(void)

注意:此函数无需参数,其功能是将指针处的数据赋给上一步中绑定的变量,并将指针下移

一行,如果指针处没有数据可供返回,函数返回false。由于数据可能有很多条,就得需要用循环处理。

7、关闭查询

函数原型:bool mysqli_stmt::close(void)

还需要关注的一点是,如果想执行多条语句,可以重复3-6步,即重新赋值,再execute一遍。

最后断开链接:

函数原型:bool mysqli::close(void)

以上就是预备查询的基本理论,理论还得靠实践来检验,下面对两份程序进行测试,首先介绍测试环境:

B:Safari 5.0(6533.16)on MAC OS X10.6.4

S:Apache/2.2.15 PHP/5.3.2 mysql-5.5-m2-osx10.6-x86_64

MAC OS X10.6.4

其次,安装测试程序。这个程序是我自己写的,意在说明意思,做得比较简陋,凑合看下。安装方法见光盘。下面进行测试,先测试第一套新闻系统。从源代码看出,程序将变量直接带入SQL语句,造成注入,提交返回空白页面。

提交:http://localhost/newsl/news.php?id=1 and 1=2 union select 1,user,pass fromadmin,返回后台地址。

用得到的用户名与密码登录后台(http://localhost/news1/admin)成功。

然后测试第二套系统。从源代码看出,程序使用了预备查询技术,而且没有过滤,提交注入语句的非数字部分均被忽略(是因为绑定变量是类型定义为数字的缘故)所以无法注入。通过测试可以看出,预备查询可以防范注入攻击。这样的技术应当引起程序员的重视!

相关推荐