您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關(guān)mysql注入在PHP代碼層面的防御手段是什么,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。
什么是sql注入?
服務(wù)端沒有對用戶提交的參數(shù)進(jìn)行嚴(yán)格的過濾,導(dǎo)致可以將SQL語句插入到可控參數(shù)中,改變原有的SQL語義結(jié)構(gòu),從而執(zhí)行攻擊者所預(yù)期的結(jié)果。
sql注入的探測
判斷數(shù)據(jù)庫類型
端口
報錯信息
一些中間件常用的數(shù)據(jù)庫
PHP MySQL
ASP SQL Server
ASPX SQL Server
JSP MySQL Oracle
尋找SQL注入點
尋找與數(shù)據(jù)庫交互的可控參數(shù)
GET
POST
COOKIE
HTTP頭
確定注入點
確定注入點的核心思想就是判斷插入的數(shù)據(jù)是否被當(dāng)做SQL語句執(zhí)行??梢允褂煤唵蔚乃阈g(shù)運(yùn)算來測試。
SQL語句預(yù)編譯和綁定變量
使用足夠嚴(yán)格的過濾和安全防御
Web應(yīng)用向數(shù)據(jù)庫傳遞語句模板
數(shù)據(jù)庫對模板進(jìn)行編譯,編譯以后語義將不會改變
變量綁定,Web應(yīng)用向數(shù)據(jù)庫傳遞變量,變量只會被當(dāng)做數(shù)據(jù)識別,不會被作為語義結(jié)構(gòu)識別
執(zhí)行SQL語句
SQL注入的核心:數(shù)據(jù)和代碼的混淆。
什么是PDO?
PHP 數(shù)據(jù)對象 (PDO) 擴(kuò)展為PHP訪問數(shù)據(jù)庫定義了一個輕量級的一致接口。
PDO 提供了一個數(shù)據(jù)訪問抽象層,這意味著,不管使用哪種數(shù)據(jù)庫,都可以用相同的函數(shù)(方法)來查詢和獲取數(shù)據(jù)。
PDO是php中最典型的預(yù)編譯查詢方式。
PDO場景下的SQL注入
PDO與安全相關(guān)的問題主要的設(shè)置有下面三項:
PDO::ATTR_EMULATE_PREPARES # 模擬預(yù)編譯
PDO::ATTR_ERRMODE # 報錯
PDO::MYSQL_ATTR_MULTI_STATEMENTS # 多語句執(zhí)行
第一項為模擬預(yù)編譯,如果為False,則不存在SQL注入;如果為True,則PDO并非真正的預(yù)編譯,而是將輸入統(tǒng)一轉(zhuǎn)化為字符型,并轉(zhuǎn)義特殊字符。這樣如果是gbk編碼則存在寬字節(jié)注入。
第二項而報錯,如果設(shè)置為True,可能會泄露一些信息。
第三項為多語句執(zhí)行,如果設(shè)置為True,且第一項也為True,則會存在寬字節(jié)+堆疊注入的雙重漏洞。
對于此類問題的防范,主要有以下三個方面:
合理、安全的使用gbk編碼。即使采用PDO預(yù)編譯的方式,如果開啟模擬預(yù)編譯,依然可以造成寬字節(jié)注入。
使用PDO時,一定要將模擬預(yù)編譯設(shè)置為false。
可采用Prepare Statement手動預(yù)編譯,防御SQL注入。
代碼示例
$dbh = new PDO('mysql:dbname=testdb;host=127.0.0.1', $user, $password);
$stmt = $dbh->prepare('INSERT INTO REGISTRY (name, value) VALUES (:name, :value)');
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
或者
$dbh = new PDO('mysql:dbname=testdb;host=127.0.0.1', $user, $password);
$stmt = $dbh->prepare('UPDATE people SET name = :new_name WHERE id = :id');
$stmt->execute( array('new_name' => $name, 'id' => $id) );
詳細(xì)請參考:
從寬字節(jié)注入認(rèn)識PDO的原理和正確使用
SQL注入基礎(chǔ)整理及Tricks總結(jié)
技術(shù)分享 | MySQL 注入攻擊與防御
ODBC 是一種應(yīng)用程序編程接口(Application Programming Interface,API),使我們有能力連接到某個數(shù)據(jù)源(比如一個 MS Access 數(shù)據(jù)庫)。
代碼示例
$stmt = odbc_prepare( $conn, 'SELECT * FROM users WHERE email = ?' );
$success = odbc_execute( $stmt, array($email) );
或者
$dbh = odbc_exec($conn, 'SELECT * FROM users WHERE email = ?', array($email));
$sth = $dbh->prepare('SELECT * FROM users WHERE email = :email');
$sth->execute(array(':email' => $email));
MySQLi函數(shù)允許你訪問MySQL數(shù)據(jù)庫服務(wù)器。
$stmt = $db->prepare('update name set name = ? where id = ?');
$stmt->bind_param('si',$name,$id);
$stmt->execute();
對于框架的話只要遵循框架的API就好,例如wp查詢
global $wpdb;
$wpdb->query(
$wpdb->prepare( 'SELECT name FROM people WHERE id = %d OR email = %s',
$person_id, $person_email
)
);
global $wpdb;
$wpdb->insert( 'people',
array(
'person_id' => '123',
'person_email' => 'bobby@tables.com'
),
array( '%d', '%s' )
);
看完上述內(nèi)容,你們對mysql注入在PHP代碼層面的防御手段是什么有進(jìn)一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。