1.代码分析
HTML代码
<form action="#" method="GET">
<input type="text" name="id">
<input type="submit" name="Submit" value="Submit">
</form>
action=“#”,将数据提交到当前页面。
PHP代码分析
if(isset($_GET[‘Submit’])){ //判断Submit变量是否存在
$id = $_GET[‘id’]; //获取id变量的值并赋值给变量$id
$getid = "SELECT first_name, last_name FROM users WHERE user_id = ‘1’ and ‘1’=‘1'";
//将select查询语句赋值给变量$getid
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
//mysql_query()函数执行mysql查询
//die() 函数输出一条消息,并退出当前脚本。
//mysql_error() 函数返回上一个 MySQL 操作产生的文本错误信息。
//or之前的语句执行不成功时,才会执行后面的语句。
//and之前的语句执行成功时,才会执行后面的语句。
mysql_query()函数
mysql_query()如果是执行查询之类的语句(select),那么会返回一个资源标识符,也就是我们要查找的数据结果集;
mysql_query()如果是执行增删改之类的语句,返回的就是true或者false了。
PHP代码分析
$num = mysql_numrows($result); //返回结果集中行的数目
$i = 0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name"); //返回结果集中first_name字段的值
$last = mysql_result($result,$i,"last_name"); //返回结果集中last_name字段的值
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>surname: ' . $last;
echo '</pre>';
$i++;
}
2.漏洞分析
SQL注入分类
按照所传递的数据类型分类: 数字型注入 SELECT first_name, last_name FROM users WHERE user_id= id字符型注入SELECTfirstname,lastnameFROMusersWHEREuserid=′id‘ 无论何种类型,都可以通过直接输入单引号来判断是否存在注入点。 可以分别输入3和1+2,根据显示结果来判断数据类型。
字符型注入
字符型注入最关键的是如何闭合SQL语句以及注释多余的代码。
SELECT first_name, last_name FROM users WHERE user_id = ’1 ‘or 1=1 or ‘ '
’ or 1=1 or ‘ 假 or 真 or 假
1’ or ‘1’=‘1 真 or 真
’ or 1=1 # 假 or 真
’ or 1=1 -- 假 or 真
手工MySQL注入流程
’ union select 1,2 #
’ union select user(),database() #
‘ union select table_name,2 from information_schema.tables where table_schema='dvwa' #
‘ union select column_name,2 from information_schema.columns where table_name='users' #
‘ union select user,password from users #
3.漏洞防御
如何防御SQL注入
SQL注入漏洞的形成原因:用户构造的语句被代入到数据库中执行。
防御SQL注入的首要原则:用户的一切输入都是有害的,或是说不被信任的。
防御SQL注入的主要方法:对用户输入的数据进行过滤。
medium级别的防御措施
$id = $_GET['id'];
$id = mysql_real_escape_string($id);
使用mysql_real_escape_string()函数对用户输入的id参数进行了过滤。
可以将单引号【'】、双引号【"】、反斜杠【\】、空字符【null】等进行转义。
转义是把指定的字符转换成无意义的符号,比如PHP解析器不会把经过转义的引号当成引号来看待。
PHP中另一个功能类似的函数:addslashes()
medium级别的漏洞
$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id";
注入类型变成了数字型,mysql_real_escape_string()函数过滤无效。
high级别的防御措施
$id = $_GET['id'];
$id = stripslashes($id);
$id = mysql_real_escape_string($id);
stripslashes()函数的作用是删除由 addslashes() 函数添加的反斜杠,也就是去除addslashes()函数的转义。
magic_quotes_gpc魔术引号
在PHP配置文件php.ini中存在magic_quotes_gpc选项,被称为魔术引号。
在high级别下,PHP的magic_quotes_gpc被自动设为on。
开启之后,可以对所有的GET、POST和COOKIE传值的数据自动运行addslashes()函数
关闭魔术引号
修改C:\Windows\php.ini文件magic_quotes_gpc = Off
重启Apache服务
high级别的防御措施
if (is_numeric($id)){
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
在执行查询之前,使用了if语句进行判断,判断的条件是is_numeric()函数。
判断用户输入的数据是否是数字型,只要不是数字型就一概报错。
and、or、select等语句都无法执行。
如何从代码层面防范SQL注入
对于数字型注入,可以使用if语句,并以is_number()函数作为判断条件进行防御。
对于字符型注入,对用于接收用户参数的变量,用mysql_real_escape_string()、addslashes()等函数进行过滤。
SQL注入的防范措施
代码层面 1.对输入进行严格的转义和过滤; 2.使用参数化查询。
网络层面 1.通过WAF进行防护; 2.云端防护:安全狗、360网站卫士、阿里云盾等。