SQL注入是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数被带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。
一般情况下,开发人员可以使用动态SQL语句创建通用、灵活的应用。动态SQL语句是在执行过程中构造的,它根据不同的条件产生不同的SQL语句。当开发人员在运行过程中根据不同的查询标准决定提取什么字段(如select语句),或者根据不同的条件选择不同的查询表时,动态地构造SQL语句会非常有用。
以PHP语句为例,命令如下:
代码语言:javascript复制$query = "SELECT * FROM users WHERE id = $_GET['id']";由于这里的参数ID可控,且被带入数据库查询,所以非法用户可以任意拼接SQL语句进行攻击。
当然,SQL注入按照不同的分类方法可以分为很多种,如报错注入、盲注、Union注入等。
SQL注入漏洞原理
SQL注入漏洞的产生需要满足以下两个条件:
参数用户可控:前端传给后端的参数内容是用户可以控制的。参数被带入数据库查询:传入的参数被拼接到 SQL语句中,且被带入数据库查询。当传入的参数ID为1时,数据库执行的代码如下:
代码语言:javascript复制select * from users where id = 1'这不符合数据库语法规范,所以会报错。当传入的参数ID为and1=1时,执行的SQL语句如下:
代码语言:javascript复制select * from users where id = 1 and 1=1因为1=1为真,且where语句中id=1也为真,所以页面会返回与id=1相同的结果。当传入的参数 ID为and1=2时,由于1=2不成立,所以返回假,页面就会返回与id=1不同的结果。
由此可以初步判断参数ID存在SQL注入漏洞,攻击者可以进一步拼接SQL语句进行攻击,致使其获取数据库信息,甚至进一步获取服务器权限等。
在实际环境中,凡是满足上述两个条件的参数皆可能存在SQL注入漏洞,因此开发者需秉持“外部参数皆不可信”的原则进行开发。
SQL注入漏洞修复建议
常用的SQL注入漏洞的修复方法有两种。
1.过滤危险字符
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load file等关键字。如果匹配到,则退出程序。例如,80sec的防注入代码如下:
代码语言:javascript复制functionCheckSql($db_string,$querytype='select')
{
global$cfg_cookie_encode;
$clean='';
$error='';
$old_pos= 0;
$pos= -1;
$log_file= DEDEINC.'/../data/'.md5($cfg_cookie_encode).'_safe.txt';
$userIP= GetIP();
$getUrl= GetCurUrl();
//如果是普通查询语句,则直接过滤一些特殊语法
if($querytype=='select')
{
$notallow1="[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}";
//$notallow2 = "--|/\*";
if(preg_match("/".$notallow1."/i",$db_string))
{
fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||SelectBreak\r\n");
exit("Safe Alert: Request Error step 1 !");
}
}
//完整的SQL检查
while(TRUE)
{
$pos=strpos($db_string,'\'',$pos+ 1);
if($pos=== FALSE)
{
break;
}
$clean.=substr($db_string,$old_pos,$pos-$old_pos);
while(TRUE)
{
$pos1=strpos($db_string,'\'',$pos+ 1);
$pos2=strpos($db_string,'\\',$pos+ 1);
if($pos1=== FALSE)
{
break;
}
elseif($pos2== FALSE ||$pos2>$pos1)
{
$pos=$pos1;
break;
}
$pos=$pos2+ 1;
}
$clean.='$s$';
$old_pos=$pos+ 1;
}
$clean.=substr($db_string,$old_pos);
$clean= trim(strtolower(preg_replace(array('~\s+~s'),array(' '),$clean)));
//老版本的MySQL不支持Union,常用的程序里也不使用Union,但是一些黑客使用它,所以要检查它
if(strpos($clean,'union') !== FALSE && preg_match('~(^|[^a-z])union($|[^[a-z])~s',$clean) != 0)
{
$fail= TRUE;
$error="union detect";
}
//发布版本的程序可能不包括“--”“#”这样的注释,但是黑客经常使用它们
elseif(strpos($clean,'/*') > 2 ||strpos($clean,'--') !== FALSE ||strpos($clean,'#') !== FALSE)
{
$fail= TRUE;
$error="comment detect";
}
//这些函数不会被使用,但是黑客会用它来操作文件
elseif(strpos($clean,'sleep') !== FALSE && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s',$clean) != 0)
{
$fail= TRUE;
$error="slown down detect";
}
elseif(strpos($clean,'benchmark') !== FALSE && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s',$clean) != 0)
{
$fail= TRUE;
$error="slown down detect";
}
elseif(strpos($clean,'load_file') !== FALSE && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s',$clean) != 0)
{
$fail= TRUE;
$error="file fun detect";
}
elseif(strpos($clean,'into outfile') !== FALSE && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s',$clean) != 0)
{
$fail= TRUE;
$error="file fun detect";
}
//老版本的MySQL不支持子查询,程序里可能也用得少,但是黑客可以使用它查询数据库敏感信息
elseif(preg_match('~\([^)]*?select~s',$clean) != 0)
{
$fail= TRUE;
$error="sub select detect";
}
if(!empty($fail))
{
fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||$error\r\n");
exit("Safe Alert: Request Error step 2!");
}
else
{
return$db_string;
}
}
使用过滤的方式,可以在一定程度上防止出现 SQL注入漏洞,但仍然存在被绕过的可能。
2.使用预编译语句
使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库中数据的增加、删除、修改、查询。示例代码如下:
代码语言:javascript复制
$pdo=new PDO('mysql:host=127.0.0.1;dbname=test','root','root');
$stmt=$pdo->prepare('select * from user where id=:id');
$stmt->bindParam(':id',$_GET['id']);
$stmt->execute();
$result=$stmt->fetchAll(PDO::FETCH_ASSOC);
var_dump($result);
?>