浅谈开启magic_quote_gpc后的sql注入攻击与防范
更新时间:2012年01月15日 19:15:49 作者:
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。
开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。
虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。
前面已经提到过,开启magic_quote_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。
实例演示:
假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quote_gpc启用。
SQL语句:$sql="select * from users where username=$name and password='$pwd'";注意:变量$name没加引号
此时,在地址栏中输入username=admin%23,则合成后的sql语句为:
select * from users where username='admin\' #' and password='';
这时候通过url地址栏输入的单引号(')将被加上反斜线,该sql语句将失效。
admin转换成ASCII后是char(97,100,109,105,110)
此时在地址栏中输入username=char(97,100,109,105,110)%23
SQL语句就变成了:
select * from users where username=char(97,100,109,105,110)#' and password='';
执行结果为真,就可以顺利进入后台。
对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。
比如:$id=intval($_GET[‘id']);
select * from articles where id='$id';
地址栏中输入:id=5' or 1=1%23
SQL语句将变成:select * from articles where id='5';
而不是select * from articles where id='5' or 1=1#;
总结:
对于每一个变量都记得加上单引号,比如where username='$name',
开启magic_quote_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字
如何防止SQL注入攻击
方法一:密码比对
思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对。
代码:
$sql="select password from users where username='$name'";
$res=mysql_query($sql,$conn);
if ($arr=mysql_fetch_assoc($res)){//如果用户名存在
if ($arr['password']==$pwd) {//密码比对
echo "登录成功";
}else{
echo "密码输入有误";
}
}else {
echo "该用户名不存在";
}
分析:该情况下,代码健壮了不少,即使在magic_quote_gpc=Off的情况下,也能防止SQL注入攻击。因为攻击者想成功登录的话,得绕过两道坎,第一是输入的用户名要存在,这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过,但是这样子无法通过第二道坎。因为需要用户输入一个正确的密码才能通过,显然,这已经拒绝了SQL注入攻击。
方法二:使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击
思路:创建一个pdo对象,利用pdo的预处理操作可以防止SQL注入攻击
代码:
$name=$_GET['username'];
$pwd=$_GET['password'];
$sql="select * from users where username=? and password=?";
//1.创建一个pdo对象
$pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");
//2.设置编码
$pdo->exec("set names 'utf8'");
//3.预处理$sql语句
$pdoStatement=$pdo->prepare($sql);
//4.把接收到的用户名和密码填入
$pdoStatement->execute(array($name,$pwd));
//5.取出结果
$res=$pdoStatement->fetch();
if(empty($res)){
echo "用户名或密码输入有误";
}else{
echo "登录成功";
}
开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。
虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。
前面已经提到过,开启magic_quote_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。
实例演示:
假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quote_gpc启用。
SQL语句:$sql="select * from users where username=$name and password='$pwd'";注意:变量$name没加引号
此时,在地址栏中输入username=admin%23,则合成后的sql语句为:
select * from users where username='admin\' #' and password='';
这时候通过url地址栏输入的单引号(')将被加上反斜线,该sql语句将失效。
admin转换成ASCII后是char(97,100,109,105,110)
此时在地址栏中输入username=char(97,100,109,105,110)%23
SQL语句就变成了:
select * from users where username=char(97,100,109,105,110)#' and password='';
执行结果为真,就可以顺利进入后台。
对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。
比如:$id=intval($_GET[‘id']);
select * from articles where id='$id';
地址栏中输入:id=5' or 1=1%23
SQL语句将变成:select * from articles where id='5';
而不是select * from articles where id='5' or 1=1#;
总结:
对于每一个变量都记得加上单引号,比如where username='$name',
开启magic_quote_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字
如何防止SQL注入攻击
方法一:密码比对
思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对。
代码:
复制代码 代码如下:
$sql="select password from users where username='$name'";
$res=mysql_query($sql,$conn);
if ($arr=mysql_fetch_assoc($res)){//如果用户名存在
if ($arr['password']==$pwd) {//密码比对
echo "登录成功";
}else{
echo "密码输入有误";
}
}else {
echo "该用户名不存在";
}
分析:该情况下,代码健壮了不少,即使在magic_quote_gpc=Off的情况下,也能防止SQL注入攻击。因为攻击者想成功登录的话,得绕过两道坎,第一是输入的用户名要存在,这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过,但是这样子无法通过第二道坎。因为需要用户输入一个正确的密码才能通过,显然,这已经拒绝了SQL注入攻击。
方法二:使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击
思路:创建一个pdo对象,利用pdo的预处理操作可以防止SQL注入攻击
代码:
复制代码 代码如下:
$name=$_GET['username'];
$pwd=$_GET['password'];
$sql="select * from users where username=? and password=?";
//1.创建一个pdo对象
$pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");
//2.设置编码
$pdo->exec("set names 'utf8'");
//3.预处理$sql语句
$pdoStatement=$pdo->prepare($sql);
//4.把接收到的用户名和密码填入
$pdoStatement->execute(array($name,$pwd));
//5.取出结果
$res=$pdoStatement->fetch();
if(empty($res)){
echo "用户名或密码输入有误";
}else{
echo "登录成功";
}
相关文章
很多人用了phpmyadmin4以后的版本发现速度好像慢了很多,总结下,提供解决方法。2013-11-11
这篇文章主要介绍了Mybatis mapper动态代理的原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-08-08
这篇文章主要介绍了MySQL v5.7.18 解压版本安装详细教程,非常不错,具有参考借鉴价值,需要的朋友可以参考下2017-04-04
在MySQL中,可以使用LIKE运算符进行模糊查询,LIKE运算符用于匹配字符串模式,其中可以使用通配符来表示任意字符或字符序列,这篇文章主要介绍了Mysql 模糊查询和正则表达式实例详解,需要的朋友可以参考下2023-11-11
mysql 8.0.18.zip安装配置方法图文教程(windows 64位)
这篇文章主要为大家详细介绍了mysql 8.0.18.zip安装配置方法图文教程,以及卸载以前数据库的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-10-10
数据分布特点,决定了空间压缩的效率,如果存入的数据的重复率较高,其压缩率就会较高;通常情况下字符类型数据(CHAR, VARCHAR, TEXT or BLOB )具有较高的压缩率,而一些二进制数据或者一些已经压缩过的数据的压缩率不会很好2017-06-06
在mysql中是没有top关键字的,不过可以用limit来完成此功能,下面举例为大家详细介绍下它的使用方法,不会的朋友可以学习下2013-07-07
这篇文章主要介绍了以Centos为例讲解MySQL在Linux中的部署,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-12-12
这篇文章主要为大家详细介绍了centos7下mysql安装配置方法图文教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-04-04
这篇文章主要介绍了Mysql Limit 分页查询优化的相关资料,非常不错,介绍的非常详细,具有参考借鉴价值,需要的朋友可以参考下2016-09-09
最新评论