php is_numeric函數可繞過產生SQL注入

標籤：style   http   使用   ar   strong   資料   sp   div   2014   

老老實實mysql_real_escape_string()防作死......is_numeric的SQL利用條件雖然有點苛刻，但還是少用的好= =

某CTF中亦有實測案例，請戳 http://drops.wooyun.org/tips/870

一、is_numberic函數簡介
國內一部分CMS程式裡面有用到過is_numberic函數，我們先看看這個函數的結構
bool is_numeric (mixed $var)
如果 var 是數字和數字字串則返回 TRUE，否則返回 FALSE。

二、函數是否安全

接下來我們來看個例子，說明這個函數是否安全。

代碼如下:$s = is_numeric($_GET[‘s‘])?$_GET[‘s‘]:0;
$sql="insert into test(type)values($s);";  //是 values($s) 不是values(‘$s‘)
mysql_query($sql);

上面這個片段程式是判斷參數s是否為數字，是則返回數字，不是則返回0，然後帶入資料庫查詢。（這樣就構造不了sql語句）
我們把‘1 or 1‘ 轉換為16進位 0x31206f722031 為s參數的值
程式運行後，我們查詢資料庫看看，如：

如果再重新查詢這個表的欄位出來，不做過濾帶入另一個SQL語句，將會造成2次注入.

三、 總結
盡量不要使用這函數，如果要使用這個函數，建議使用規範的sql語句,條件加入單引號，這樣16進位0x31206f722031就會在資料庫裡顯示出來。而不會出現1 or 1。

原文連結

php is_numeric函數可繞過產生SQL注入