在本系列文章中,我們將全面**如何在php開發環境中全面阻止sql注入式攻擊,並給出乙個具體的開發示例。
一、 引言
php是一種力量強大但相當容易學習的伺服器端指令碼語言,即使是經驗不多的程式設計師也能夠使用它來建立複雜的動態的web站點。然而,它在實現網際網路服務的秘密和安全方面卻常常存在許多困難。在本系列文章中,我們將向讀者介紹進行web開發所必需的安全背景以及php特定的知識和**-你可以藉以保護你自己的web應用程式的安全性和一致性。首先,我們簡單地回顧一下伺服器安全問題-展示你如何訪問乙個共享宿主環境下的私人資訊,使開發者脫離開生產伺服器,維持最新的軟體,提供加密的頻道,並且控制對你的系統的訪問。
然後,我們討論php指令碼實現中的普遍存在的脆弱性。我們將解釋如何保護你的指令碼免於sql注入,防止跨站點指令碼化和遠端執行,並且阻止對臨時檔案及會話的"劫持"。
二、 什麼是sql注入
如果你打算永遠不使用某些資料的話,那麼把它們儲存於乙個資料庫是毫無意義的;因為資料庫的設計目的是為了方便地訪問和運算元據庫中的資料。但是,如果只是簡單地這樣做則有可能會導致潛在的災難。這種情況並不主要是因為你自己可能偶然刪除資料庫中的一切;而是因為,當你試圖完成某項"無辜"的任務時,你有可能被某些人所"劫持"-使用他自己的破壞性資料來取代你自己的資料。我們稱這種取代為"注入"。
其實,每當你要求使用者輸入構造乙個資料庫查詢,你是在允許該使用者參與構建乙個訪問資料庫伺服器的命令。一位友好的使用者可能對實現這樣的操作感覺很滿意;然而,一位惡意的使用者將會試圖發現一種方法來扭曲該命令,從而導致該被的扭曲命令刪除資料,甚至做出更為危險的事情。作為乙個程式設計師,你的任務是尋找一種方法來避免這樣的惡意攻擊。
三、 sql注入工作原理
構造乙個資料庫查詢是乙個非常直接的過程。典型地,它會遵循如下思路來實現。僅為說明問題,我們將假定你有乙個葡萄酒資料庫**"wines",其中有乙個欄位為"variety"(即葡萄酒型別):
1. 提供乙個表單-允許使用者提交某些要搜尋的內容。讓我們假定使用者選擇搜尋型別為"lagrein"的葡萄酒。
2. 檢索該使用者的搜尋術語,並且儲存它-通過把它賦給乙個如下所示的變數來實現:
$variety = $_post['variety'];
因此,變數$variety的值現在為:
lagrein
3. 然後,使用該變數在where子句中構造乙個資料庫查詢:
$query = "select * from wines where variety='$variety'";
所以,變數$query的值現在如下所示:
select * from wines where variety='lagrein'
4. 把該查詢提交給mysql伺服器。
5. mysql返回wines**中的所有記錄-其中,欄位variety的值為"lagrein"。
到目前為止,這應該是乙個你所熟悉的而且是非常輕鬆的過程。遺憾的是,有時我們所熟悉並感到舒適的過程卻容易導致我們產生自滿情緒。現在,讓我們再重新分析一下剛才構建的查詢。
1. 你建立的這個查詢的固定部分以乙個單引號結束,你將使用它來描述變數值的開始:
$query = " select * from wines where variety = '";
2. 使用原有的固定不變的部分與包含使用者提交的變數的值:
$query .= $variety;
3. 然後,你使用另乙個單引號來連線此結果-描述該變數值的結束:
$ query .= "'";
於是,$query的值如下所示:
select * from wines where variety = 'lagrein'
這個構造的成功依賴使用者的輸入。在本文示例中,你正在使用單個單詞(也可能是一組單詞)來指明一種葡萄酒型別。因此,該查詢的構建是無任何問題的,並且結果也會是你所期望的-乙個葡萄酒型別為"lagrein"的葡萄酒列表。現在,讓我們想象,既然你的使用者不是輸入乙個簡單的型別為"lagrein"的葡萄酒型別,而是輸入了下列內容(注意包括其中的兩個標點符號):
lagrein' or 1=1;
現在,你繼續使用前面固定的部分來構造你的查詢(在此,我們僅顯示$query變數的結果值):
select * from wines where variety = '
然後,你使用包含使用者輸入內容的變數的值與之進行連線(在此,以粗體顯示):
select * from wines where variety = 'lagrein' or 1=1;
最後,新增上下面的下引號:
select * from wines where variety = 'lagrein' or 1=1;'
於是,這個查詢結果與你的期望會相當不同。事實上,現在你的查詢包含的不是一條而是兩條指令,因為使用者輸入的最後的分號已經結束了第一條指令(進行記錄選擇)從而開始了一條新的指令。在本例中,第二條指令,除了乙個簡單的單引號之外別無意義;但是,第一條指令也不是你所想實現的。當使用者把乙個單引號放到他的輸入內容的中間時,他結束了期望的變數的值,並且引入了另乙個條件。因此,不再是檢索那些variety為"lagrein"的記錄,而是在檢索那些滿足兩個標準中任何乙個(第乙個是你的,而第二個是他的-variety為"lagrein"或1等於1)的記錄。既然1總是1,因此,你會檢索到所有的記錄!
你可能反對:我不會使用雙引號來代替單引號來描述使用者提交的變數嗎?不錯,這至少可以減慢惡意使用者的攻擊。(在以前的文章中,我們提醒過你:應該禁止所有對使用者的錯誤通知資訊。如果在此生成一條錯誤訊息,那麼,它有可能恰恰幫助了攻擊者-提供乙個關於他的攻擊為什麼失敗的具體的解釋。)
在實踐中,使你的使用者能夠看到所有的記錄而不只是其中的一部分乍看起來似乎不太費事,但實際上,這的確費事不少;看到所有的記錄能夠很容易地向他提供有關於該**的內部結構,從而也就向他提供了使其以後實現更為惡毒目的的乙個重要參考。如果你的資料庫中不是包含顯然無害的酒之類資訊而是包含例如乙個含有雇員年收入的列表,那麼,剛才描述情形會是特別真實的。
而從理論角度分析,這種攻擊也的確是一件很可怕的事情。由於把意外的內容注入到你的查詢中,所以,此使用者能夠實現把你的資料庫訪問轉化為用於實現他自己的目的。因此現在,你的資料庫已經對他開啟-正如對你敞開一樣。
四、 php和mysql注入
如我們前面所描述的,php,從本身設計來說,並沒有做什麼特別的事情-除了按照你的指示操作之外。因此,如果為惡意使用者所用,它也只是按照要求"允許"特別設計的攻擊-例如我們前面所描述的那樣。
我們將假定,你不會故意地或甚至是偶然地構造乙個具有破壞性效果的資料庫查詢-於是,我們假定問題出在來自你的使用者的輸入方面。現在,讓我們來更為細緻地分析一下使用者可能向你的指令碼提供資訊的各種途徑。
五、 使用者輸入的型別
如今,使用者能夠影響你的指令碼的行為已變得越來越複雜。
使用者輸入最明顯的**當然是表單上的乙個文字輸入域。使用這樣的乙個域,你簡直是在故意教唆乙個使用者輸入任意資料。而且,你向使用者提供了乙個很大的輸入範圍;沒有什麼辦法能夠使你提前限制乙個使用者能夠輸入的資料型別(儘管你能夠選擇限制它的長度)。這正是絕大多數的注入式攻擊源主要來自於無防備的表單域的原因。
但是,還存在其它的攻擊源,並且稍加思考你就會想到的一種潛於表單後台的技術-post方法!通過簡單地分析顯示在瀏覽器的導航工具欄中的uri,乙個善於觀察的使用者能夠很容易地看出是什麼資訊傳遞到了乙個指令碼。儘管典型情況下這樣的uri是以程式設計方式生成的,但是,沒有什麼辦法能夠阻止乙個惡意的使用者簡單地把乙個帶有乙個不適當的變數值的uri輸入到乙個瀏覽器中-而這樣潛在地開啟乙個可能會被其濫用的資料庫。
限制使用者輸入內容的乙個常用策略是在乙個表單中提供乙個選擇框,而不是乙個輸入框。這種控制項能夠強制使用者從一組預定義的值中進行選擇,並且能夠在一定程度上阻止使用者輸入期望不到的內容。但是正如乙個攻擊者可能"哄騙"乙個uri(也即是,建立乙個能夠模仿乙個可信任的卻無效的uri)一樣,他也可能模仿建立你的表單及其自己的版本,並因此在選項框中使用非法的而不是預定義的安全選擇。要實現這點是極其簡單的;他僅需要觀察原始碼,然後剪下並且貼上該表單的源**-然後一切為他敞開大門。
在修改該選擇之後,他就能夠提交表單,並且他的無效的指令就會被接受,就象它們是原始的指令一樣。因此,該使用者可以使用許多不同的方法試圖把惡意的**注入到乙個指令碼中。
在PHP中全面阻止SQL注入式攻擊之一
在本系列文章中,我們將全面 如何在php開發環境中全面阻止sql注入式攻擊,並給出乙個具體的開發示例。一 引言 php是一種力量強大但相當容易學習的伺服器端指令碼語言,即使是經驗不多的程式設計師也能夠使用它來建立複雜的動態的web站點。然而,它在實現網際網路服務的秘密和安全方面卻常常存在許多困難。在...
在PHP中全面阻止SQL注入式攻擊之三
一 建立乙個安全抽象層 我們並不建議你手工地把前面介紹的技術應用於每乙個使用者輸入的例項中,而是強烈推薦你為此建立乙個抽象層。乙個簡單的抽象是把你的校驗方案加入到乙個函式中,並且針對使用者輸入的每一項呼叫這個函式。當然,我們還可以建立一種更複雜的更高一級的抽象 把乙個安全的查詢封裝到乙個類中,從而應...
在PHP中全面阻止SQL注入式攻擊之一
在本系列文章中,我們將全面 如何在php開發環境中全面阻止sql注入式攻擊,並給出乙個具體的開發示例。一 引言 php是一種力量強大但相當容易學習的伺服器端指令碼語言,即使是經驗不多的程式設計師也能夠使用它來建立複雜的動態的web站點。然而,它在實現網際網路服務的秘密和安全方面卻常常存在許多困難。在...