刺球网络安全社区

 找回密码
 立即注册

新浪微博登陆

只需一步, 快速开始

QQ登录

只需一步,快速开始

搜索
查看: 539|回复: 0

浅谈PHP防注入

[复制链接]

 成长值: 216071

新浪微博达人勋

  • TA的每日心情

    2019-8-22 09:24
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    1134

    主题

    1717

    帖子

    37万

    积分

    管理员

    技术指数:★★★★★

    Rank: 9Rank: 9Rank: 9

    积分
    376204

    社区QQ达人最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

    QQ
    发表于 2017-10-20 15:02:52 | 显示全部楼层 |阅读模式
    某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起阿D时,却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听我给各位慢慢道来。
    预备查询技术实际上是将不完整的SQL语句(如:select * from xxx where id=?“?”是占位符)预先编译好,驻留于内存中,使用时不断将数据代入占位符并执行的一种技术。使用这种技术本意是想快速运行多个格式相同的SQL语句,但由于语句已经编译好,所以代人数据时就不存在数据与语句相混淆的情况,自然也就可以起到防注入的作用。预备查询技术是新版MySQLi库的亮点之一,在介绍预备查询技术之前,先简单说说MySQLi。
    一、运行环境
    1、MySQLi库可以链接4.1(含)以上版本的Mysql服务器。
    2、MySQLi库为PHP5.0(含)以上版本自带。
    二、安装方式
    1、windows编辑php.ini,找到:;extension=php_mysqli,dⅡ这一行,去掉分号,保存,重启apache。
    2、(类)unix如:(包括但不限于)mac os x,linux, unix等
    重新编译php,加上--with-mysqli=/usr/local/mysql/bin/mysql_config
    三、改进
    1.mysqli可以让程序员以面向对象的方式编写代码,为了做到这一点,可怜的php开发者几乎重写所有代码,在此向他们致敬。
    2.mysqli库去掉了一些无用的函数,如:不支持持久连接等。
    可以看出,mysqli作出了重大的改进,方便了程序员,下面开始介绍预备查询技术。预备查询技术需要七个环节,涉及六个函数,我们一一为大家讲解。
    首先先链接MySQL服务器,然后进行预备查询。
    1、预备
    函数原型:mysqli_stmt mysqli::prepare(string $query)
    注意:$query中要含有占位符,占位符可以占数字,文本等类型的数据,但是不能占表名,列名,数据库名等。其中,当占位符占文本时,不要用引号(例如:应该为where username=?,而不是where username_'?')。根据刚才的介绍,此时就已经编译语句了,自然这里也会有语法检查。
    2、绑定变量
    函数原型:bool mysqli_stmt::bind_param(string $types, mixed &$varl[, mixed&$…])注意:参数一为文本型,其中定义了各个占位符的类型,i是整型,d是浮点型,s是字符串型,b是blob(例如,预备查询语句中有四个占位符,类型分别是字符串型、字符串型、字符串型、整型,则该参数为:"sssi")。剩下的参数按顺序依次对应预备查询语句中的占位符,变量不需要提前定义。
    3、赋值
    为第二步中的变量赋值
    4、执行
    函数原型:bool mysqli_stmt::execute(void)
    5、绑定结果
    函数原型:bool mysqli_stmt::bind_result (mixed &$varl[,mied&$…])
    注意:参数要一一与返回的字段对应,对于无返回数据的查询,如delete,insert等,无需此步和下一步。
    6、处理数据
    函数原型:bool mysqli_stmt::fetch(void)
    注意:此函数无需参数,其功能是将指针处的数据赋给上一步中绑定的变量,并将指针下移
    一行,如果指针处没有数据可供返回,函数返回false。由于数据可能有很多条,就得需要用循环处理。
    7、关闭查询
    函数原型:bool mysqli_stmt::close(void)
    还需要关注的一点是,如果想执行多条语句,可以重复3-6步,即重新赋值,再execute一遍。
    最后断开链接:
    函数原型:bool mysqli::close(void)
    以上就是预备查询的基本理论,理论还得靠实践来检验,下面对两份程序进行测试,首先介绍测试环境:
    B:Safari 5.0(6533.16)on MAC OS X10.6.4
    S:Apache/2.2.15 PHP/5.3.2 mysql-5.5-m2-osx10.6-x86_64
    MAC OS X10.6.4
    其次,安装测试程序。这个程序是我自己写的,意在说明意思,做得比较简陋,凑合看下。安装方法见光盘。下面进行测试,先测试第一套新闻系统。从源代码看出,程序将变量直接带入SQL语句,造成注入,提交返回空白页面。
    提交:http://localhost/newsl/news.php?id=1 and 1=2 union select 1,user,pass fromadmin,返回后台地址。
    用得到的用户名与密码登录后台(http://localhost/news1/admin)成功。
    然后测试第二套系统。从源代码看出,程序使用了预备查询技术,而且没有过滤,提交注入语句的非数字部分均被忽略(是因为绑定变量是类型定义为数字的缘故)所以无法注入。通过测试可以看出,预备查询可以防范注入攻击。这样的技术应当引起程序员的重视!



    楼主热帖
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆

    本版积分规则

    
     
     
    技术支持
    点击这里给我发消息
    在线客服
    点击这里给我发消息
    点击这里给我发消息
    刺球网安群①:
    刺球网安社区交流群①
    在线时间:
    8:30-21:00
     

    刺球网安 渝公网安备 50011402500080号 ( 渝ICP备15001097号-1 )申请友链|小黑屋| 刺球网络安全社区

    GMT, 2019-11-20 21:39 , Processed in 0.455965 second(s), 40 queries , Gzip On.

    Powered by 刺球网安

    © 2014-2025

    快速回复 返回顶部 返回列表