PHP如何防止SQL注入

　　一、 引言

　　PHP是一種力量強大但相當容易學(xué)習的服務(wù)器端腳本語(yǔ)言，即使是經(jīng)驗不多的程序員也能夠使用它來(lái)創(chuàng )建復雜的動(dòng)態(tài)的web站點(diǎn)。然而，它在實(shí)現因特網(wǎng)服務(wù)的秘密和安全方面卻常常存在許多困難。在本系列文章中，我們將向讀者介紹進(jìn)行web開(kāi)發(fā)所必需的安全背景以及PHP特定的知識和代碼-你可以借以保護你自己的web應用程序的安全性和一致性。首先，我們簡(jiǎn)單地回顧一下服務(wù)器安全問(wèn)題-展示你如何存取一個(gè)共享宿主環(huán)境下的私人信息，使開(kāi)發(fā)者脫離開(kāi)生產(chǎn)服務(wù)器，維持最新的軟件，提供加密的頻道，并且控制對你的系統的存取。

　　然后，我們討論PHP腳本實(shí)現中的普遍存在的脆弱性。我們將解釋如何保護你的腳本免于SQL注入，防止跨站點(diǎn)腳本化和遠程執行，并且阻止對臨時(shí)文件及會(huì )話(huà)的”劫持”。

　　在最后一篇中，我們將實(shí)現一個(gè)安全的Web應用程序。你將學(xué)習如何驗證用戶(hù)身份，授權并跟蹤應用程序使用，避免數據損失，安全地執行高風(fēng)險性的系統命令，并能夠安全地使用web服務(wù)。無(wú)論你是否有足夠的PHP安全開(kāi)發(fā)經(jīng)驗，本系列文章都會(huì )提供豐富的信息來(lái)幫助你構建更為安全的在線(xiàn)應用程序。

　　二、 什么是SQL注入

　　如果你打算永遠不使用某些數據的話(huà)，那么把它們存儲于一個(gè)數據庫是毫無(wú)意義的;因為數據庫的設計目的是為了方便地存取和操作數據庫中的數據。但是，如果只是簡(jiǎn)單地這樣做則有可能會(huì )導致潛在的災難。這種情況并不主要是因為你自己可能偶然刪除數據庫中的一切;而是因為，當你試圖完成某項”無(wú)辜”的任務(wù)時(shí)，你有可能被某些人所”劫持”-使用他自己的破壞性數據來(lái)取代你自己的數據。我們稱(chēng)這種取代為”注入”。

　　其實(shí)，每當你要求用戶(hù)輸入構造一個(gè)數據庫查詢(xún)，你是在允許該用戶(hù)參與構建一個(gè)存取數據庫服務(wù)器的命令。一位友好的用戶(hù)可能對實(shí)現這樣的操作感覺(jué)很滿(mǎn)意;然而，一位惡意的用戶(hù)將會(huì )試圖發(fā)現一種方法來(lái)扭曲該命令，從而導致該被的扭曲命令刪除數據，甚至做出更為危險的事情。作為一個(gè)程序員，你的任務(wù)是尋找一種方法來(lái)避免這樣的惡意攻擊。

　　三、 SQL注入工作原理

　　構造一個(gè)數據庫查詢(xún)是一個(gè)非常直接的過(guò)程。典型地，它會(huì )遵循如下思路來(lái)實(shí)現。僅為說(shuō)明問(wèn)題，我們將假定你有一個(gè)葡萄酒數據庫表格”wines”，其中有一個(gè)字段為”variety”(即葡萄酒類(lèi)型)：

　　1. 提供一個(gè)表單-允許用戶(hù)提交某些要搜索的內容。讓我們假定用戶(hù)選擇搜索類(lèi)型為”lagrein”的葡萄酒。

　　2. 檢索該用戶(hù)的搜索術(shù)語(yǔ)，并且保存它-通過(guò)把它賦給一個(gè)如下所示的變量來(lái)實(shí)現：

　　$variety = $_POST['variety'];

　　因此，變量$variety的值現在為：

　　lagrein

　　3. 然后，使用該變量在WHERE子句中構造一個(gè)數據庫查詢(xún)：

　　$query = “SELECT * FROM wines WHERE variety=’$variety’”;

　　所以，變量$query的值現在如下所示：

　　SELECT * FROM wines WHERE variety=’lagrein’

　　4. 把該查詢(xún)提交給MySQL服務(wù)器。

　　5. MySQL返回wines表格中的所有記錄-其中，字段variety的值為”lagrein”。

　　到目前為止，這應該是一個(gè)你所熟悉的而且是非常輕松的過(guò)程。遺憾的是，有時(shí)我們所熟悉并感到舒適的過(guò)程卻容易導致我們產(chǎn)生自滿(mǎn)情緒�，F在，讓我們再重新分析一下剛才構建的查詢(xún)。

　　1. 你創(chuàng )建的這個(gè)查詢(xún)的固定部分以一個(gè)單引號結束，你將使用它來(lái)描述變量值的開(kāi)始：

　　$query = ” SELECT * FROM wines WHERE variety = ‘”;

　　2. 使用原有的固定不變的部分與包含用戶(hù)提交的變量的值：

　　$query .= $variety;

　　3. 然后，你使用另一個(gè)單引號來(lái)連接此結果-描述該變量值的結束：

　　$ query .= “‘”;

　　于是，$query的值如下所示：

　　SELECT * FROM wines WHERE variety = ‘lagrein’

　　這個(gè)構造的成功依賴(lài)用戶(hù)的輸入。在本文示例中，你正在使用單個(gè)單詞(也可能是一組單詞)來(lái)指明一種葡萄酒類(lèi)型。因此，該查詢(xún)的構建是無(wú)任何問(wèn)題的，并且結果也會(huì )是你所期望的-一個(gè)葡萄酒類(lèi)型為”lagrein”的葡萄酒列表�，F在，讓我們想象，既然你的用戶(hù)不是輸入一個(gè)簡(jiǎn)單的類(lèi)型為”lagrein”的葡萄酒類(lèi)型，而是輸入了下列內容(注意包括其中的兩個(gè)標點(diǎn)符號)：

　　lagrein’ or 1=1;

　　現在，你繼續使用前面固定的部分來(lái)構造你的查詢(xún)(在此，我們僅顯示$query變量的結果值)：

　　SELECT * FROM wines WHERE variety = ‘

　　然后，你使用包含用戶(hù)輸入內容的變量的值與之進(jìn)行連接(在此，以粗體顯示)：

　　SELECT * FROM wines WHERE variety = ‘lagrein’ or 1=1;

　　最后，添加上下面的下引號：

　　SELECT * FROM wines WHERE variety = ‘lagrein’ or 1=1;’

　　于是，這個(gè)查詢(xún)結果與你的期望會(huì )相當不同。事實(shí)上，現在你的查詢(xún)包含的不是一條而是兩條指令，因為用戶(hù)輸入的最后的分號已經(jīng)結束了第一條指令(進(jìn)行記錄選擇)從而開(kāi)始了一條新的指令。在本例中，第二條指令，除了一個(gè)簡(jiǎn)單的單引號之外別無(wú)意義;但是，第一條指令也不是你所想實(shí)現的。當用戶(hù)把一個(gè)單引號放到他的輸入內容的中間時(shí)，他結束了期望的變量的值，并且引入了另一個(gè)條件。因此，不再是檢索那些variety為”lagrein”的記錄，而是在檢索那些滿(mǎn)足兩個(gè)標準中任何一個(gè)(第一個(gè)是你的，而第二個(gè)是他的-variety為”lagrein”或1等于1)的記錄。既然1總是1，因此，你會(huì )檢索到所有的記錄!

　　你可能反對：我不會(huì )使用雙引號來(lái)代替單引號來(lái)描述用戶(hù)提交的變量嗎?不錯，這至少可以減慢惡意用戶(hù)的攻擊。(在以前的文章中，我們提醒過(guò)你：應該禁止所有對用戶(hù)的錯誤通知信息。如果在此生成一條錯誤消息，那么，它有可能恰恰幫助了攻擊者-提供一個(gè)關(guān)于他的攻擊為什么失敗的具體的解釋。)

　　在實(shí)踐中，使你的用戶(hù)能夠看到所有的記錄而不只是其中的一部分乍看起來(lái)似乎不太費事，但實(shí)際上，這的確費事不少;看到所有的記錄能夠很容易地向他提供有關(guān)于該表格的內部結構，從而也就向他提供了使其以后實(shí)現更為惡毒目的的一個(gè)重要參考。如果你的數據庫中不是包含顯然無(wú)害的酒之類(lèi)信息而是包含例如一個(gè)含有雇員年收入的列表，那么，剛才描述情形會(huì )是特別真實(shí)的。

　　而從理論角度分析，這種攻擊也的確是一件很可怕的事情。由于把意外的內容注入到你的查詢(xún)中，所以，此用戶(hù)能夠實(shí)現把你的數據庫存取轉化為用于實(shí)現他自己的目的。因此現在，你的數據庫已經(jīng)對他打開(kāi)-正如對你敞開(kāi)一樣。

　　四、 PHP和MySQL注入

　　如我們前面所描述的，PHP，從本身設計來(lái)說(shuō)，并沒(méi)有做什么特別的事情-除了按照你的指示操作之外。因此，如果為惡意用戶(hù)所用，它也只是按照要求”允許”特別設計的攻擊-例如我們前面所描述的那樣。

　　我們將假定，你不會(huì )故意地或甚至是偶然地構造一個(gè)具有破壞性效果的數據庫查詢(xún)-于是，我們假定問(wèn)題出在來(lái)自你的用戶(hù)的輸入方面�，F在，讓我們來(lái)更為細致地分析一下用戶(hù)可能向你的腳本提供信息的各種途徑。

　　五、 用戶(hù)輸入的類(lèi)型

　　如今，用戶(hù)能夠影響你的腳本的行為已變得越來(lái)越復雜。

　　用戶(hù)輸入最明顯的來(lái)源當然是表單上的一個(gè)文本輸入域。使用這樣的一個(gè)域，你簡(jiǎn)直是在故意教唆一個(gè)用戶(hù)輸入任意數據。而且，你向用戶(hù)提供了一個(gè)很大的輸入范圍;沒(méi)有什么辦法能夠使你提前限制一個(gè)用戶(hù)能夠輸入的數據類(lèi)型(盡管你能夠選擇限制它的長(cháng)度)。這正是絕大多數的注入式攻擊源主要來(lái)自于無(wú)防備的表單域的原因。

　　但是，還存在其它的攻擊源，并且稍加思考你就會(huì )想到的一種潛于表單后臺的技術(shù)-POST方法!通過(guò)簡(jiǎn)單地分析顯示在瀏覽器的導航工具欄中的URI，一個(gè)善于觀(guān)察的用戶(hù)能夠很容易地看出是什么信息傳遞到了一個(gè)腳本。盡管典型情況下這樣的URI是以編程方式生成的，但是，沒(méi)有什么辦法能夠阻止一個(gè)惡意的用戶(hù)簡(jiǎn)單地把一個(gè)帶有一個(gè)不適當的變量值的URI輸入到一個(gè)瀏覽器中-而這樣潛在地打開(kāi)一個(gè)可能會(huì )被其濫用的數據庫。

　　限制用戶(hù)輸入內容的一個(gè)常用策略是在一個(gè)表單中提供一個(gè)選擇框，而不是一個(gè)輸入框。這種控件能夠強制用戶(hù)從一組預定義的值中進(jìn)行選擇，并且能夠在一定程度上阻止用戶(hù)輸入期望不到的內容。但是正如一個(gè)攻擊者可能”哄騙”一個(gè)URI(也即是，創(chuàng )建一個(gè)能夠模仿一個(gè)可信任的卻無(wú)效的URI)一樣，他也可能模仿創(chuàng )建你的表單及其自己的版本，并因此在選項框中使用非法的而不是預定義的安全選擇。要實(shí)現這點(diǎn)是極其簡(jiǎn)單的;他僅需要觀(guān)察源碼，然后剪切并且粘貼該表單的源代碼-然后一切為他敞開(kāi)大門(mén)。

　　在修改該選擇之后，他就能夠提交表單，并且他的無(wú)效的指令就會(huì )被接受，就象它們是原始的指令一樣。因此，該用戶(hù)可以使用許多不同的方法試圖把惡意的代碼注入到一個(gè)腳本中。

【PHP如何防止SQL注入】相關(guān)文章：

如何學(xué)好PHP知識03-30

新手如何學(xué)習PHP語(yǔ)言03-29

冬天如何防止靜電10-12

如何更改SQL Server默認的1433端口04-10

淺析通如何加強php的安全03-06

php如何過(guò)濾危險html代碼03-30

如何防止油門(mén)當剎車(chē)-防止油門(mén)當剎車(chē)的技巧方法03-29

冬天如何防止頭發(fā)靜電10-09

如何快速掌握SQL Server中的日志轉移03-29

如何防止旅游中腹瀉06-18