SQL注入攻击的一般步骤:
1、攻 击者访问有SQL注入漏洞的站点,寻找注入点
2、攻击者构造注入语句,注入语句和程序中的SQL语句结合生成新的sql语句
3、新的sql语句被提交到数据库中执行 处理
4、数据库执行了新的SQL语句,引发SQL注入攻击
实例
数据库
CREATE TABLE `postmessage` (
`id` int(11) NOT NULL auto_increment,
`subject` varchar(60) NOT NULL default ",
`name` varchar(40) NOT NULL default ",
`email` varchar(25) NOT NULL default ",
`question` mediumtext NOT NULL,
`postdate` datetime NOT NULL default '0000-00-00 00:00:00′,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT='运用者的留言' AUTO_INCREMENT=69 ;
grant all privileges on ch3.* to 'sectop'@localhost identified by '123456′;
//add.php 插入留言
//list.php 留言列表
//show.php 显示留言
页面 /show.php?id=71 可能存在注入点,我们来测试
/show.php?id=71 and 1=1
返回页面
一次查询到记录,一次没有,我们来看看源码
//show.php 12-15行
// 执行mysql查询语句
$query = "select * from postmessage where id = ".$_GET["id"];
$result = mysql_query($query)
or die("执行ySQL查询语句失败:" . mysql_error());
参数id传递进来后,和前面的字符串结合的sql语句放入数据库执行 查询
提交 and 1=1,语句变成select * from postmessage where id = 71 and 1=1 这语句前值后值都为真,and以后也为真,返回查询到的数据
提交 and 1=2,语句变成select * from postmessage where id = 71 and 1=2 这语句前值为真,后值为假,and以后为假,查询不到任何数据
正常的SQL查询,经过我们构造的语句之后,形成了SQL注入攻击。通过这个注入点,我们还可以进一步拿到权限,比如说运用 union读取管理密码,读取数据库信息,或者用mysql的load_file,into outfile等函数进一步渗透。
防sql注入方法
$id = intval ($_GET['id']);
当然,还有其它的变量类型,如果有必要的话尽量强制一下格式。
字符型参数:
运用 addslashes函数来将单引号"'"转换成"'",双引号"""转换成""",反斜杠""转换成"\",NULL字符加上反斜杠""
函数原型
string addslashes (string str)
str是要检查的字符串
那么刚才出现的代码漏洞,我们可以这样修补
// 执行mysql查询语句
$query = "select * from postmessage where id = ".intval($_GET["id"]);
$result = mysql_query($query)
or die("执行ySQL查询语句失败:" . mysql_error());
如果是字符型,先判断magic_quotes_gpc能无法 为On,当不为On的时候运用 addslashes转义特殊字符
| 代码如下 | 复制代码 |
|
if(get_magic_quotes_gpc()) { $var = $_GET["var"]; } else { $var = addslashes($_GET["var"]); } ] |
|
SQL语句中包含变量加引号
SQL代码:
| 代码如下 | 复制代码 |
|
SELECT * FROM article WHERE articleid = '$id' SELECT * FROM article WHERE articleid = $id |
|
两种写法在各种程序中都很普遍,但安全性是不同的,第一句由于把变量$id放在一对单引号中,这样使得我们所提交的变量都变成了字符串,即使包含了正确的SQL语句,也不会正常执行,而第二句不同,由于没有把变量放进单引号中,那我们所提交的一切,只要包含空格,那空格后的变量都会作为SQL语句执行,因此,我们要养成给SQL语句中变量加引号的习惯。
3. URL伪静态化
URL伪静态化也就是URL重写技术,像Discuz!一样,将所有的URL都rewrite成类似xxx-xxx-x.html格式,即有利于SEO,又达到了一定的安全性,也不失为一个好办法。但是想实现PHP防SQL注入,前提是你得有一定的"正则"基础。
4. 用PHP函数过滤与转义
PHP的SQL注入比较重要的一点就是GPC的设置问题,因为MYSQL4以下的版本是不支持子语句的,而且当php.ini里的magic_quotes_gpc为On时,提交的变量中所有的 " ' "(单引号)、" " "(双引号)、" "(反斜线)和空字符都会自动转为含有反斜线的转义字符,给SQL注入带来不少的阻碍。
5. 用PHP的MySQL函数过滤与转义
PHP的MySQL操作函数中有addslashes()、mysql_real_escape_string()、mysql_escape_string()等函数,可将特殊字符或可能引起数据库操作出错的字符转义。
那么这三个功能函数之间有什么区别呢?下面我们来详细讲述下:
① addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,称为一个有效的多字节字符,其中0xbf5c仍会被看做是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
另外对于php手册中get_magic_quotes_gpc的举例:
| 代码如下 | 复制代码 |
|
if(!get_magic_quotes_gpc()){ $lastname = addslashes($_POST['lastname']);}else{ $lastname = $_POST['lastname'];} |
|
最好对magic_quotes_gpc已经打开的情况下,还是对$_POST['lastname']进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
| 代码如下 | 复制代码 |
| function daddslashes($string, $force = 0, $strip = FALSE) { if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = daddslashes($val, $force, $strip); } } else { $string = addslashes($strip ? stripslashes($string) : $string); } } return $string; } |
|
命令1 - 写任意文件
MySQL有一个内置的命令,可用于创建和写入系统文件。 此命令的格式如下:
| 代码如下 | 复制代码 |
|
mysq> select "text" INTO OUTFILE "file.txt" |
|
此命令的一个大缺点是,它可以被附加到一个现有的查询使用UNION的SQL令牌。
例如,它可以被附加到下面的查询:
| 代码如下 | 复制代码 |
|
select user, password from user where user="admin" and password='123' select user, password from user where user="admin" and password='123' union select "text",2 into outfile "/tmp/file.txt" -- ' |
|
作为对上述命令的结果,在/ tmp / file.txt文件将被创建,包括查询结果。
命令2 - 读任意文件
MySQL有一个内置的命令,可以用来读取任意文件。 它的语法很简单。 B .我们将利用这个 b命令计划 。
| 代码如下 | 复制代码 |
|
mysql> select load_file("PATH_TO_FILE"); |
|
Web shell
Webshell是polpular并广泛用于执行在Web浏览器从shell命令的工具。 .有人称之为这些工具的PHP炮弹。 我们将创建一个非常简单的webshell,将执行shell命令。
下面是执行的代码PHP的一个非常基本的外壳是将(参数通过加利福尼亚 ):
| 代码如下 | 复制代码 |
|
<? system($_REQUEST['cmd']); ?> |
|
首先我们分析 360 提供的漏洞页面地址"/?r=XXXXX"马上就可以发现问题,? 号码后面是 r=XXXX 这个 r= 就是问题的所在了,在 PHP 当中这个 GET 形式的请求(在链接中直接表现出来的请求)一般都要过滤一些文字防止被入侵,而这个就没有做这个操作,那么我们找到了入口,就开始查看代码吧,在全站中的所有文件中查找 $_GET['r'],如果你知道你的站点是哪个文件出现问题也可以直接去搜索这个文件,单引号中的 r 代表的是链接中 ?r= 中的 r,可以根据自己的要求修改。
马上就发现了问题:
$redirect = $_GET['r'];
图片中的代码把 $_GET['r'] 直接给了 $redirect 变量,简单的说现在 $redirect 就是 $_GET['r'] 了,一般情况下都是要这样写的,当然,变量的名称可能会有变,既然找到了问题出处,那么我们就只用过滤这个变量的内容就好啦。
PHP
$redirect = trim(str_replace("r","",str_replace("rn","",strip_tags(str_replace("'","",str_replace("n", "", str_replace(" ","",str_replace("t","",trim($redirect))))),""))));
直接复制上面的所有代码到 $redirect = $_GET['r'];
下面就好啦,现在再次检查网站就不会出现这个问题了,希望大家看得懂,变量名称可以根据自己的需要更换哦
HTTP响应拆分攻击
HTTP响应拆分是由于攻击者经过精心设计利用电子邮件或者链接,让目标用户利用一个请求产生两个响应,前一个响应是服务器的响应,而后一个则是攻击者设计的响应。此攻击之所以会发生,是因为WEB程序将使用者的数据置于HTTP响应表头中,这些使用者的数据是有攻击者精心设计的。
可能遭受HTTP请求响应拆分的函数包括以下几个:
header(); setcookie(); session_id(); setrawcookie();
HTTP响应拆分通常发生在:
Location表头:将使用者的数据写入重定向的URL地址内
Set-Cookie表头:将使用者的数据写入cookies内
实例:
<?php
header("Location: " . $_GET['page']);
?>
请求
GET /location.php?page=http://www.00aq.com HTTP/1.1?
Host: localhost?
?
返回
HTTP/1.1 302 Found
Date: Wed, 13 Jan 2010 03:44:24 GMT
Server: Apache/2.2.8 (Win32) PHP/5.2.6
X-Powered-By: PHP/5.2.6
Location: http://www.00aq.com
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
访问下面的链接,会直接出现一个登陆窗口
http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d%0a<html><body><form%20method=post%20name=form1>帐号%20<input%20type=text%20name=username%20/><br%20/>密码%20<input%20name=password%20type=password%20/><br%20/><input%20type=submit%20name=login%20value=登录%20/></form></body></html>
转换成可读字符串为:
Content-Type: text/html
HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 158
<html><body><form method=post name=form1>帐号 <input type=text name=username /><br />密码 <input name=password type=password /><br /><input type=submit name=login value=登录 /></form></body></html>
一个HTTP请求产生了两个响应
在网站开发中我们一个不小心可能就给人来了一个安全问题,下面我来介绍一些常用的SQL注入攻击方法总结,新手朋友们可尝试参考。1. 没有正确过滤转义字符
在用户的输入没有转义字符过滤时,就会发生这种形式的注入或攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操作。比方说,下面的这行代码就会演示这种漏洞:
| 代码如下 | 复制代码 |
|
"SELECT * FROM users WHERE name = ' " + userName + " ' ;" |
|
这种代码的设计目的是将一个特定的用户从其用户表中取出,但是,如果用户名被一个恶意的用户用一种特定的方式伪造,这个语句所执行的操作可能就不仅仅是代码的作者所期望的那样了。例如,将用户名变量(即username)设置为:a' or 't' = 't,此时原始语句发生了变化:
| 代码如下 | 复制代码 |
|
SELECT * FROM users WHERE name = 'a' OR 't' = 't'; |
|
如果这种代码被用于一个认证过程,那么这个例子就能够强迫选择一个合法的用户名,因为赋值 't' = 't' 永远是正确的。
在一些SQL服务器上,如在SQL Server中,任何一个SQL命令都可以通过这种方法被注入,包括执行多个语句。下面语句中的username的值将会导致删除"users"表,又可以从"data"表中选择所有的数据(实际上就是透露了每一个用户的信息)。
| 代码如下 | 复制代码 |
|
a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '% |
|
使得最后的SQL语句变成下面这个样子:
| 代码如下 | 复制代码 |
|
SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '%'; |
|
其它的SQL执行不会将执行同样查询中的多个命令作为一项安全措施。这会防止攻击者注入完全独立的查询,不过却不会阻止攻击者修改查询。
2. Incorrect type handling
如果一个用户提供的字段并非一个强类型,或者没有实施类型强制,就会发送这种形式的攻击。当在一个SQL语句中使用一个数字字段时,如果程序员没有检查用户输入的合法性(是否为数字型)就会发生这种攻击。例如:
| 代码如下 | 复制代码 |
|
"SELECT * FROM data WHERE id = " + a_variable + ";" |
|
从这个语句可以看出,作者希望a_variable是一个与"id"字段有关的数字。不过,如果终端用户选择一个字符串,就绕过了对转义字符的需要。例如,将a_variable设置为:1; DROP TABLE users,它会将"users"表从数据库中删除,SQL语句变成:
| 代码如下 | 复制代码 |
|
SELECT * FROM data WHERE id = 1; DROP TABLE users; |
|
3. 数据库服务器中的漏洞
有时,数据库服务器软件中也存在漏洞,如MYSQL服务器中mysql_real_escape_string()函数漏洞。这种漏洞允许一个攻击者根据错误的统一字符编码执行一次成功的SQL注入式攻击。
4. 盲目SQL注入式攻击
当一个Web应用程序易于遭受攻击而其结果对攻击者却不见时,就会发生所谓的盲目SQL注入式攻击。有漏洞的网页可能并不会显示数据,而是根据注入到合法语句中的逻辑语句的结果显示不同的内容。这种攻击相当耗时,因为必须为每一个获得的字节而精心构造一个新的语句。但是一旦漏洞的位置和目标信息的位置被确立以后,一种称为Absinthe的工具就可以使这种攻击自动化。
5. 条件响应
注意,有一种SQL注入迫使数据库在一个普通的应用程序屏幕上计算一个逻辑语句的值:
| 代码如下 | 复制代码 |
|
SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=1 |
|
这会导致一个标准的画面,而语句
SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=2 在页面易于受到SQL注入式攻击时,它有可能给出一个不同的结果。如此这般的一次注入将会证明盲目的SQL注入是可能的,它会使攻击者根据另外一个表中的某字段内容设计可以评判真伪的语句。
6. 条件性差错
如果WHERE语句为真,这种类型的盲目SQL注入会迫使数据库评判一个引起错误的语句,从而导致一个SQL错误。例如:
| 代码如下 | 复制代码 |
| SELECT 1/0 FROM users WHERE username='Ralph'。 | |
显然,如果用户Ralph存在的话,被零除将导致错误。
7. 时间延误
时间延误是一种盲目的SQL注入,根据所注入的逻辑,它可以导致SQL引擎执行一个长队列或者是iyige时间延误语句。攻击者可以衡量页面加载的时间,从而决定所注入的语句是否为真。
以上仅是对SQL攻击的粗略分类。但从技术上讲,如今的SQL注入攻击者在如何找出有漏洞的网站方面更加聪明,也更加全面了。出现了一些新型的SQL攻击手段。黑客们可以使用各种工具来加速漏洞的利用过程。我们不妨看看the Asprox Trojan这种木马,它主要通过一个发布邮件的僵尸网络来传播,其整个工作过程可以这样描述:首先,通过受到控制的主机发送的垃圾邮件将此木马安装到电脑上,然后,受到此木马感染的电脑会下载一段二进制代码,在其启动时,它会使用seo/seo.html" target="_blank">搜索引擎搜索用微软的ASP技术建立表单的、有漏洞的网站。搜索的结果就成为SQL注入攻击的靶子清单。接着,这个木马会向这些站点发动SQL注入式攻击,使有些网站受到控制、破坏。访问这些受到控制和破坏的网站的用户将会受到欺骗,从另外一个站点下载一段恶意的JavaScript代码。最后,这段代码将用户指引到第三个站点,这里有更多的恶意软件,如窃取口令的木马。
以前,我们经常警告或建议Web应用程序的程序员对其代码进行测试并打补丁,虽然SQL注入漏洞被发现和利用的几率并不太高。但近来攻击者越来越多地发现并恶意的利用这些漏洞。因此,在部署其软件之前,开发人员应当更加主动地测试其代码,并在新的漏洞出现后立即对代码打补丁。
例如,某些人可能会在登陆窗口使用这种方法绕开登陆。如果你的查询用户名和密码的形式类似这样子:
| 代码如下 | 复制代码 |
| [code='sql'] SELECT * FROM users WHERE username = {username} AND password = {password } [/code] 那么用户可以使用任意的用户名,使用这个密码: [code='sql']' OR ''=''[/code] 从而使得你的验证用户名密码的MySQL查询变成: [code='sql'] SELECT * FROM users WHERE username = 'anyuser' AND password = '' OR ''='' [/code] |
|
由于空串总是等于空串,所以查询条件永真。因此可以看到,MySQL注入的风险还是很大的,因为攻击者可以看到那些本来应该通过登陆才能访问的数据。防止你的网站受到注入式攻击是非常重要的。幸运的是,PHP可以帮助我们防止注入式攻击。
MySQL将会返回表中的所有行,根据你的程序逻辑,可能会导致全部用户都登陆了,因为他们都被匹配到了。现在,大部分情况下,人们会打开magic_quotes_gpc选项(也是PHP的默认情况),这样的配置将会自动添加反斜线,转义全部'(单引号),"(双引号),(反斜线)和空字符。但事情并不是这么简单就能解决,因为并不是所有的会导致风险的字符都被转义了。PHP有一个函数可以转义全部可能带来多余SQL子句的MySQL字符。这个函数就是mysql_real_escape_string()。
使用这个函数的时候要小心,因为你可能已经打开了magic_quotes_gpc选项,这时候使用mysql_real_escape_string()会导致第二次转义。下面这个函数避免了这个问题,首先判断
magic_quotes_gpc选项是否打开,然后再决定是否执行mysql_real_escape_string()。
[code='php']
| 代码如下 | 复制代码 |
| //给变量加引号以保证安全 function quote_smart($value) { $link=mysql_connect('mysql_host','mysql_user','mysql_password'); //去转义 if(get_magic_quotes_gpc()) { $value=stripslashes($value); } //给所有非数字加引号 if(!is_numeric($value)) { $value="'".mysql_real_escape_string($value,$link)."'"; } return $value; } ?> |
|
[/code]
需要注意的是,quote_smart()函数会自动给字符串加引号,因此你不需要自己加。
另外需要注意,因为不同的MySQL版本对于过滤的要求不一样,mysql_real_escape_string()需要一个MySQL连接才能工作,因此必须第二个参数传入一个MySQL连接。在本机安装MySQL的情况,可以省略,但是如果本机没有装MySQL,或者远程连接到MySQL,则这个参数必不可少,否则mysql_real_escape_string()将返回一个空字符串。
PHP_Screw是一款免费的针对PHP源码进行加密的PHP的扩展,可以自定义加密种子文件,加密后的文件效率还不会下降,目前还没有被破解。下面介绍一下安装和使用方法
最新版本是php_screw_1.5
wget http://nchc.dl.sourceforge.net/project/php-screw/php-screw/1.5/php_screw-1.5.tar.gz
官方站点只能下到源码
从官方站点下载最新版本:
http://sourceforge.net/project/showfiles.php?group_id=52025
安装步骤:
1. 下载源码:
wget http://nchc.dl.sourceforge.net/project/php-screw/php-screw/1.5/php_screw-1.5.tar.gz
2. 解压缩:
tar zxvf php_screw_1.5.tar.gz
3. 通过README.en文件可以看到该版本软件包要求PHP5.x 环境,并要求zlib支持(通过执行脚本来检查)。如果你使用的是PHP4.X版本,请下载php_screw_1.3版本
4. 进入源码目录
#cd php_screw_1.5
root@Server:~/php_screw-1.5# vim php_screw.h
#define PM9SCREW “tPM9SCREWt”
#define PM9SCREW_LEN 10
#define PM9SCREW “tLAURENCEt”
#define PM9SCREW_LEN 9
5. php_screw.h文件,如果不改这个文件,你加密的文件内容开头就会有 PM9SCREW ,你复制到google搜索下就知道是用screw模块加密的,虽然目前网上没发现解密算法,但以后就不一定,这么做就是为了隐藏加密算法,可以让别人不 知道你是用的什么算法加的密。改成COOL后10也要改成6.因为LAURENCE后字符长度是9发字符,如果你不对应加密后解密解析不了。
my_screw.h
root@Server:~/php_screw-1.5# vim my_screw.h
short pm9screw_mycryptkey[] = {
11152, 368, 192, 1281, 62
};
short pm9screw_mycryptkey[] = {
12852, 968, 192, 1281, 62, 269
};
自定义加密种子文件,这个可能是该程序的亮点,用你喜欢的文本编辑器打开源码目录下的my_screw.h,修改文件里面的数组文件,可以用数字添 加该数组的长度。数组越长,加密越可靠。而且该数组的长度不会影响加密以及你的PHP程序执行的速度.测试发现不要大于5位数,大了就会解密解析有问题。
6. phpize
#phpize
Configuring for:
PHP Api Version: 20041225
Zend Module Api No: 20060613
Zend Extension Api No: 220060519
如果你的系统提示没有该命令就需要安装apt-get install php5-dev Centos 估计是yum -y install php5-devel ,如果还是提示上述命令不存在,可能是由于你的php没有安装在标准目录下,请到php安装目录的bin文件夹下寻找,确定是否有该文件。然后回到 php_scre_1.5目录下,执行
#/full/path/to/phpize
要成功执行phpize,需要有autoconf 和M4软件包。成功执行后,源码文件夹下出现configure文件
如果没有装错误如下:phpize command not found
解决:centOS: yum -y install php-devel
:RHEL :up2date -i php-devel
7. 配置
./configure
如果php安装在非标准目录,需要查看在phpize目录下是否有php-config文件,然后执行该目录如下
./configure –with-php-config=/full/path/to/php-config
8. 安装
make
make install
这个时候有时会出现一个问题:
‘zend_compiler_globals’ 没有名为 ‘extended_info’ 的成员make: *** [php_screw.lo] 错误 1
解决方法:
需要修改php_screw.c (有两个地方需要调整)
把CG(extended_info) = 1;
修改为:
CG(compiler_options) |= ZEND_COMPILE_EXTENDED_INFO;
9. php配置
在php.ini文件里面添加扩展
vim /usr/local/php/etc/php.ini
extension=php_screw.so
重启apache,查看phpinfo()里面应该有php_screw的相关信息
10. 转到源码目录下的 tools 目录
#make
这里是编译php源码到php加密文件工具:screw
上述过程已经把php_screw 安装完毕了,下面来看看如何进行加密:
1. 切换到你的php源码目录,比如你要加密phpinfo.php文件则执行
#screw phpinfo.php
2. php_screw_1.5有一个缺点就是screw 加密工具一次只能执行一个文件,如果你切换到你的php源码目录执行
#screw *
不会有任何文件被加密,如果要加密上百个文件,那正是灾难
解决办法如下 ,执行
find /data/php/source -name “*.php” -print|xargs -n1 screw //加密所有的.php文件
find /data/php/source -name “*.screw” -print|xargs -n1 rm //删除所有的.php源文件的备份文件
可以对/path/to/php/source目录下的所有后缀为php的文件加密,包括子目录下的。
这样就基本做到的对php源码的加密。如果只是个人的小程序源码的加密,我想php_screw是一个不错的选择
最近无聊没事做,开始做一些php的分享,代码都比较简单,但比较实用。
这是四年前写的,几行代码实现四位随机数字的php验证码功能。
| 代码如下 | 复制代码 |
|
session_start(); if(rand(0,9)%2==0){ } |
|