php 防sql注入方法詳解(1/4)

. magic_quotes_gpc = off 時的注入攻擊
　　magic_quotes_gpc = off 是 php教程 中一種非常不安全的選項。新版本的 php 已經將預設的值改為了 on。但仍有相當多的伺服器的選項為 off。畢竟，再古董的伺服器也是有人用的。
　　當magic_quotes_gpc = on　時，它會將提交的變數中所有的 '(單引號)、"(雙號號)、(反斜線)、空白字元，都為在前面自動加上 。下面是 php 的官方說明：

 代碼如下:

magic_quotes_gpc boolean
sets the magic_quotes state for gpc (get/post/cookie) operations. when magic_quotes are on, all ' (single-quote), " (double quote), (backslash) and nul's are escaped with a backslash automatically

如果沒有轉義，即 off 情況下，就會讓攻擊者有機可乘。以下列測試指令碼為例：
 代碼如下:

<?
if ( isset($_post["f_login"] ) )
{
// 串連資料庫教程...
// ...代碼略...

// 檢查使用者是否存在
$t_struname = $_post["f_uname"];
$t_strpwd = $_post["f_pwd"];
$t_strsql = "select * from tbl_users where username='$t_struname' and password = '$t_strpwd' limit 0,1";

if ( $t_hres = mysql教程_query($t_strsql) )
{
// 成功查詢之後的處理. 略...
}
}
?>
<html><head><title>sample test</title></head>
<body>
<form method=post action="">
username: <input type="text" name="f_uname" size=30><br>
password: <input type=text name="f_pwd" size=30><br>

<input type="submit" name="f_login" value="登入">
</form>
</body>

在這個指令碼中，當使用者輸入正常的使用者名稱和密碼，假設值分別為 zhang3、abc123，則提交的 sql 語句如下：
 代碼如下:

select * from tbl_users
where username='zhang3' and password = 'abc123' limit 0,1

如果攻擊者在 username 欄位中輸入：zhang3' or 1=1 #，在 password 輸入 abc123，則提交的 sql 語句變成如下：
 代碼如下:

select * from tbl_users
where username='zhang3' or 1=1 #' and password = 'abc123' limit 0,1

由於 # 是 mysql中的注釋符, #之後的語句不被執行，實現上這行語句就成了：
 代碼如下:

select * from tbl_users
where username='zhang3' or 1=1

這樣攻擊者就可以繞過認證了。如果攻擊者知道資料庫結構，那麼它構建一個 union select，那就更危險了：
　　假設在 username 中輸入：zhang3 ' or 1 =1 union select cola, colb,cold from tbl_b #
　　在password 輸入: abc123，
　　則提交的 sql 語句變成：
 代碼如下:

select * from tbl_users
where username='zhang3 '
or 1 =1 union select cola, colb,cold from tbl_b #' and password = 'abc123' limit 0,1

首頁 1 2 3 4 末頁