php中sql注入漏洞樣本 sql注入漏洞修複_PHP教程

在開發網站的時候，出於安全考慮，需要過濾從頁面傳遞過來的字元。通常，使用者可以通過以下介面調用資料庫的內容：URL地址欄、登陸介面、留言板、搜尋方塊等。這往往給駭客留下了可乘之機。輕則資料遭到泄露，重則伺服器被拿下。

一、SQL注入的步驟

a) 尋找注入點(如：登入介面、留言板等)

b) 使用者自己構造SQL語句(如：' or 1=1#，後面會講解)

c) 將sql語句發送給資料庫管理系統(DBMS)

d) DBMS接收請求，並將該請求解釋成機器代碼指令，執行必要的存取操作

e) DBMS接受返回的結果，並處理，返回給使用者

因為使用者構造了特殊的SQL語句，必定返回特殊的結果(只要你的SQL語句夠靈活的話)。

下面，我通過一個執行個體具體來示範下SQL注入

二、SQL注入執行個體詳解(以上測試均假設伺服器未開啟magic_quote_gpc)

1) 前期準備工作

先來示範通過SQL注入漏洞，登入後台管理員介面

首先，建立一張實驗用的資料表：
複製代碼 代碼如下:
CREATETABLE `users` (

`id`int(11) NOT NULL AUTO_INCREMENT,

`username`varchar(64) NOT NULL,

`password`varchar(64) NOT NULL,

`email`varchar(64) NOT NULL,

PRIMARYKEY (`id`),

UNIQUEKEY `username` (`username`)

)ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一條記錄用於測試：
複製代碼 代碼如下:
INSERTINTO users (username,password,email)

VALUES('MarcoFly',md5('test'),'marcofly@test.com');


接下來，貼上登入介面的原始碼：
複製代碼 代碼如下:


Sql注入示範

當使用者點擊提交按鈕的時候，將會把表單資料提交給validate.php頁面，validate.php頁面用來判斷使用者輸入的使用者名稱和密碼有沒有都符合要求(這一步至關重要，也往往是SQL漏洞所在)

代碼如下：
複製代碼 代碼如下:


登入驗證

$conn=@mysql_connect("localhost",'root','')or die("資料庫連接失敗！");;

mysql_select_db("injection",$conn) or die("您要選擇的資料庫不存在");

$name=$_POST['username'];

$pwd=$_POST['password'];

$sql="select * from users where username='$name' andpassword='$pwd'";

$query=mysql_query($sql);

$arr=mysql_fetch_array($query);

if(is_array($arr)){

header("Location:manager.php");

}else{

echo "您的使用者名稱或密碼輸入有誤，請重新登入！";

}

?>




注意到了沒有，我們直接將使用者提交過來的資料(使用者名稱和密碼)直接拿去執行，並沒有實現進行特殊字元過濾，待會你們將明白，這是致命的。
程式碼分析：如果，使用者名稱和密碼都匹配成功的話，將跳轉到管理員操作介面(manager.php)，不成功，則給出友好提示資訊。
到這裡，前期工作已經做好了，接下來將展開我們的重頭戲：SQL注入

2) 構造SQL語句

填好正確的使用者名稱(marcofly)和密碼(test)後，點擊提交，將會返回給我們“歡迎管理員”的介面。

因為根據我們提交的使用者名稱和密碼被合成到SQL查詢語句當中之後是這樣的：

複製代碼 代碼如下:
select * from users where username='marcofly' andpassword=md5('test')


很明顯，使用者名稱和密碼都和我們之前給出的一樣，肯定能夠成功登陸。但是，如果我們輸入一個錯誤的使用者名稱或密碼呢?很明顯，肯定登入不了吧。恩，正常情況下是如此，但是對於有SQL注入漏洞的網站來說，只要構造個特殊的“字串”，照樣能夠成功登入。

比如：在使用者名稱輸入框中輸入:' or 1=1#,密碼隨便輸入，這時候的合成後的SQL查詢語句為：

複製代碼 代碼如下:
select * from users where username='' or 1=1#' and password=md5('')

語義分析：“#”在mysql中是注釋符，這樣井號後面的內容將被mysql視為注釋內容，這樣就不會去執行了，換句話說，以下的兩句sql語句等價：

複製代碼 代碼如下:
select * from users where username='' or 1=1#' and password=md5('')

等價於
複製代碼 代碼如下:
select *from users where username='' or 1=1


因為1=1永遠是都是成立的，即where子句總是為真，將該sql進一步簡化之後，等價於如下select語句：
複製代碼 代碼如下:
select * from users

沒錯，該sql語句的作用是檢索users表中的所有欄位
小技巧：如果不知道' or 1=1#中的單引號的作用，可以自己echo 下sql語句，就一目瞭然了。
看到了吧，一個經構造後的sql語句竟有如此可怕的破壞力，相信你看到這後，開始對sql注入有了一個理性的認識了吧~
沒錯，SQL注入就是這麼容易。但是，要根據實際情況構造靈活的sql語句卻不是那麼容易的。有了基礎之後，自己再去慢慢摸索吧。
有沒有想過，如果經由後台登入視窗提交的資料都被管理員過濾掉特殊字元之後呢?這樣的話，我們的萬能使用者名稱' or 1=1#就無法使用了。但這並不是說我們就毫無對策，要知道使用者和資料庫打交道的途徑不止這一條。

http://www.bkjia.com/PHPjc/727938.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/727938.htmlTechArticle在開發網站的時候，出於安全考慮，需要過濾從頁面傳遞過來的字元。通常，使用者可以通過以下介面調用資料庫的內容：URL地址欄、登陸界...

