PHP代码安全性的规范_2.pdf

PHP 代码安全性的规范 、 注入 1 SQL 1.1 概念 所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符 串，最终达到欺骗服务器执行恶意的SQL命令。 1.2 危害  查询数据库中敏感信息。  绕过认证。  添加、删除、修改服务器数据。  拒绝服务。?id (BENCHMARK(100000000, MD5(RAND())); 1.3 原因  php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开，被置为 off  开发者没有对数据类型进行检查和转义 第二点最为重要？因为如果没有第二点的保证，magic_quotes_gpc 选项，不论为 on， 还是为 off，都有可能引发 SQL 注入攻击。 1.4 例子  magic_quotes_gpc Off 时的注入攻击 magic_quotes_gpc Off是 php 中一种非常不安全的选项。新版本的 php 已经将默 认的值改为了 On。但仍有相当多的服务器的选项为 off。 当magic_quotes_gpc On 时，它会将提交的变量中所有的 (单引号)、(双号号)、 \(反斜线)、空白字符，都为在前面自动加上 \。下面是 php 的官方说明： magic_quotes_gpc boolean Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When magic_quotesareon,all (single-quote), (doublequote),\ (backslash) and NULs are escaped with a backslash automatically 如果没有转义，即 off 情况下，就会让攻击者有机可乘。 当用户输入正常的用户名和密码，假设值分别为 zhang3、abc123，则提交的 SQL 语句如下： SELECT * FROM tbl_users WHERE username zhang3 AND password abc123 LIMIT 0,1 如果攻击者在 username 字段中输入：zhang3 OR 1 1 #，在 password 输入 abc123，则提交的 SQL 语 句变成如下： SELECT * FROM tbl_users WHERE username zhang3 OR 1 1 # AND password abc123 LIMIT 0,1 由于 # 是 mysql中的注释符, #之后的语句不被执行，实现上这行语句就成了： SELECT * FROM tbl_users WHERE username zhang3 OR 1 1 这样攻击者就可以绕过认证了。如果攻击者知道数据 库结构，那么它构建一个 UNION SELECT，那就更危险了： 假设在 username 中输入：zhang3OR 1 1UNION selectcola,colb,coldFROMtbl_b # 在password 输入: abc123， 则提交的 SQL 语句变成： SELECT * FROM tbl_users WHERE username zhang3 OR 1 1 UNION select cola, colb,cold FROM tbl_b # AND password abc123 LIMIT 0,1 这样就相当危险了。  magic_quotes_gpc On 时的注入攻击 当 magic_quotes_gpc On 时，攻击者无法对字符型的字段进行 SQL 注入。这并不代 表这就安全了。这时，可以通过数值型的字段进行SQL注入。 在最新版的 MYSQL 5.x 中，已经严格了数据类型的输入，已默认关闭自动类型转换。 数值型的字段，不能是引号标记的字符型。也就是说，假设 uid 是数值型的，在以前的 mysql 版本中，这样的语句是合法的： INSERT INTO tbl_user SET uid 1; SELECT * FROM tbl_user WHERE uid 1; 在最新的 MYSQL 5.x 中，上面的语句不是合法的，必须写成这样： INSERT INTO tbl_user SET uid