在PHP中全面阻止SQL注入式攻擊之二

　　一、 注入式攻擊的類型
　　可能存在許多不同類型的攻擊動機，但是乍看上去，似乎存在更多的類型。這是非常真實的-如果惡意使用者發現了一個能夠執行多個查詢的辦法的話。本文後面，我們會對此作詳細討論。

如果你的指令碼正在執行一個SELECT指令，那麼，攻擊者可以強迫顯示一個表格中的每一行記錄-通過把一個例如"1=1"這樣的條件注入到WHERE子句中，如下所示：

SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'

　　正如我們在前面所討論的，這本身可能是很有用的資訊，因為它揭示了該表格的一般結構(這是一條普通的記錄所不能實現的)，以及潛在地顯示包含機密資訊的記錄。

一條更新指令潛在地具有更直接的威脅。通過把其它屬性放到SET子句中，一名攻擊者可以修改當前被更新的記錄中的任何欄位，例如下面的例子：

UPDATE wines SET type='red'，'vintage'='9999' WHERE variety = 'lagrein'

　　通過把一個例如1=1這樣的恒真條件添加到一條更新指令的WHERE子句中，這種修改範圍可以擴充到每一條記錄，例如下面的例子：

UPDATE wines SET type='red'，'vintage'='9999 WHERE variety = 'lagrein' OR 1=1;'

　　最危險的指令可能是DELETE-這是不難想像的。其注入技術與我們已經看到的相同-通過修改WHERE子句來擴充受影響的記錄的範圍，例如下面的例子：

DELETE FROM wines WHERE variety = 'lagrein' OR 1=1;'

　　二、 多個查詢注入

多個查詢注入將會加劇一個攻擊者可能引起的潛在的損壞-通過允許多條破壞性指令包括在一個查詢中。在使用MySQL資料庫時，攻擊者通過把一個出乎意料之外的終止符插入到查詢中即可很容易實現這一點-此時一個注入的引號(單引號或雙引號)標記期望變數的結尾;然後使用一個分號終止該指令。現在，一個另外的攻擊指令可能被添加到現在終止的原始指令的結尾。最終的破壞性查詢可能看起來如下所示：

SELECT * FROM wines WHERE variety = 'lagrein';
GRANT ALL ON *.* TO 'BadGuy@%' IDENTIFIED BY 'gotcha';'

　　這個注入將建立一個新的使用者BadGuy並賦予其網路特權(在所有的表格上具有所有的特權);其中，還有一個"不祥"的口令被加入到這個簡單的SELECT語句中。如果你遵循我們在以前文章中的建議-嚴格限制該過程使用者的特權，那麼，這應該無法工作，因為web伺服器精靈不再擁有你撤回的GRANT特權。但是從理論上講，這樣的一個攻擊可能給予BadGuy自由權力來實現他對你的資料庫的任何操作。

至於這樣的一個多查詢是否會被MySQL伺服器處理，結論並不唯一。這其中的一些原因可能是由於不同版本的MySQL所致，但是大多數情況卻是由於多查詢存在的方式所致。MySQL的監視程式完全允許這樣的一個查詢。常用的MySQL GUI-phpMyAdmin，在最終查詢之前會複製出以前所有的內容，並且僅僅這樣做。

但是，大多數的在一個注入上下文中的多查詢都是由PHP的mysql擴充負責管理的。幸好，預設情況下，它是不允許在一個查詢中執行多個指令的;試圖執行兩個指令(例如上面所示的注入)將會簡單地導致失敗-不設定任何錯誤，並且沒有產生任何輸出資訊。在這種情況下，儘管PHP也只是"規規矩矩"地實現其預設行為，但是確實能夠保護你免於大多數簡單的注入式攻擊。

PHP5中的新的mysqli擴充(參考http://php.net/mysqli)，就象mysql一樣，內在地也不支援多個查詢，不過卻提供了一個mysqli_multi_query()函數以支援你實現多查詢-如果你確實想這樣做的話。

然而，對於SQLite-與PHP5綁定到一起的可嵌入的SQL資料庫引擎(參考http://sqlite.org/和http://php.net/sqlite)情況更為可怕，由於其便於使用而吸引了大量使用者的關注。在有些情況下，SQLite預設地允許這樣的多指令查詢，因為該資料庫可以最佳化批查詢，特別是非常有效批INSERT語句處理。然而，如果查詢的結果為你的指令碼所使用的話(例如在使用一個SELECT語句檢索記錄的情況下)，sqlite_query()函數卻不會允許執行多個查詢。

三、 INVISION Power BOARD SQL注入脆弱性

Invision Power Board是一個著名的論壇系統。2005年五月6號，在登入代碼中發現了一處SQL注入脆弱性。其發現者為GulfTech Security Research的James Bercegay。

這個登入查詢如下所示：

$DB->query("SELECT * FROM ibf_members WHERE id=$mid AND passWord='$pid'");

　　其中，成員ID變數$mid和口令ID變數$pid被使用下面兩行代碼從my_cookie()函數中檢索出：

$mid = intval($std->my_getcookie('member_id'));
$pid = $std->my_getcookie('pass_hash');

　　在此，my_cookie()函數使用下列語句從cookie中檢索要求的變數：

return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);

　　【注意】從該cookie返回的值根本沒有被處理。儘管$mid在使用於查詢之前被強制轉換成一個整數，但是$pid卻保持不變。因此，它很容易遭受我們前面所討論的注入類型的攻擊。

因此，通過以如下方式修改my_cookie()函數，這種脆弱性就會暴露出來：

if ( ! in_array( $name，array('topicsread'， 'forum_read'，'collapsePRefs') ) )
{
return $this->
clean_value(urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]));
}
else
{
return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);
}

　　經過這樣的改正之後，其中的關鍵變數在"通過"全域clean_value()函數後被返回，而其它變數卻未進行檢查。

現在，既然我們大致瞭解了什麼是SQL注入，它的注入原理以及這種注入的脆弱程度，那麼接下來，讓我們探討如何有效地預防它。幸好，PHP為我們提供了豐富的資源，因此我們有充分的信心預言，一個經仔細地徹底地使用我們所推薦的技術構建的應用程式將會從你的指令碼中根本上消除任何可能性的SQL注入-通過在它可能造成任何損壞之前"清理"你的使用者的資料來實現。

四、 界定你的查詢中的每一個值

我們推薦，你確保界定了你的查詢中的每一個值。字串值首當其衝，以及那些你通常期望應該使用"單"(而不是"雙")引號的內容。一方面，如果你使用雙引號來允許PHP在字串內的變數替代，這樣可以使得輸入查詢更為容易些;另一方面，這(無可否認，只是極少量地)也會減少以後PHP代碼的分析工作。

下面，讓我們使用我們一開始使用的那個非注入式查詢來說明這個問題：

SELECT * FROM wines WHERE variety = 'lagrein'

　　或以PHP語句表達為：

$query = "SELECT * FROM wines WHERE variety = '$variety'";

　　從技術上講，引號對於數字值來說是不需要使用的。但是，如果你並不介意用引號把例如葡萄酒這樣的一個域相應的一個值括起來並且如果你的使用者把一個空值輸入到你的表單中的話，那麼，你會看到一個類似下面的查詢：

SELECT * FROM wines WHERE vintage =

　　當然，這個查詢從文法上講是無效的;但是，下面的文法卻是有效：

SELECT * FROM wines WHERE vintage = ''

　　第二個查詢將(大概)不會返回任何果，但是至少它不會返回一個錯誤訊息。

五、 檢查使用者提交的值的類型

從前面的討論中我們看到，迄今為止，SQL注入的主要來源往往出在一個意料之外的表單入口上。然而，當你經由一個表單向使用者提供機會提交某些值時，你應該有相當的優勢來確定你想取得什麼樣的輸入內容-這可以使得我們比較容易地檢查使用者入口的有效性。在以前的文章中，我們已經討論過這樣的校正問題;所以，在此，我們僅簡單地總結當時我們討論的要點。如果你正在期望一個數字，那麼你可以使用下面這些技術之一來確保你得到的真正是一個數字類型：

· 使用is_int()函數(或is_integer()或is_long())。

· 使用gettype()函數。

· 使用intval()函數。

· 使用settype()函數。

為了檢查使用者輸入內容的長度，你可以使用strlen()函數。為了檢查一個期望的時間或日期是否有效，你可以使用strtotime()函數。它幾乎一定能夠確保一位使用者的入口中沒有包含分號字元(除非標點符號可以被合法地包括在內)。你可以藉助於strpos()函數容易地實現這一點，如下所示：

if( strpos( $variety， ';' ) ) exit ( "$variety is an invalid value for variety!" );

　　正如我們在前面所提到的，只要你仔細分析你的使用者輸入期望，那麼，你應該能夠很容易地檢查出其中存在的許多問題。

六、 從你的查詢中濾去每一個可疑字元

儘管在以前的文章中，我們已經討論過如何過濾掉危險字元的問題;但是在此，還是讓我們再次簡單地強調並歸納一下這個問題：

· 不要使用magic_quotes_gpc指令或它的"幕後搭擋"-addslashes()函數，此函數在應用程式開發中是被限制使用的，並且此函數還要求使用額外的步驟-使用stripslashes()函數。

· 相比之下，mysql_real_escape_string()函數更為常用，但是也有它自己的缺點。

