SQL注入
审计语句 【输入参数】
SELECT,DELETE,UPDATE,INSERT
防御
转义:
1、开启gpc:判断解析用户提示的数据
2、mysql_real_escape_string():转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集
string mysql_real_escape_string ( string $unescaped_string
[, resource $link_identifier
] )
3、addslashs():使用反斜线引用字符串
string addslashes ( string $str
)
4、关键字过滤
CSRF
审计:敏感表单是否使用token验证(还有token是否随机)
防御
1、验证HTTP Referer字段(可能存在绕过,最好使用下面两种方法)
2、在请求地址中添加token并验证
3、在HTTP头中自定义属性并验证
动态函数与匿名函数
动态:函数与函数之间的调用,可能会产生漏洞
静态:允许临时创建一个没有指定名称的函数。最经常用作回调函数(callback)参数的值。【create_function:创建匿名函数】
unserialize反序列漏洞
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。
unserialize函数被用于将格式化字符串内的对象进行实例化,在反序列化期间,每个解析元素都有一个索引号,号码从1开始。
mixed unserialize ( string $str
)
1、unserialize()中的参数可控
2、脚本中存在一个构造函数、析构函数、__wakeup()函数中有类
3、对象中的成员变量的值
反序列化的变量会覆盖类中变量的值
原因:
1、是 register_globals 为 on 的情况,PHP4 默认开启,PHP5 以后默认关闭
2、人为注册了全局变量
全局变量的取值与赋值
文件管理漏洞
PHP 的用于文件管理的函数,如果输入变量可由用户提交,程序中也没有做数据验证,可能成为高危漏洞
常用函数
copy():拷贝文件
bool copy ( string $source
, string $dest
[, resource $context
] )
将文件从 source
拷贝到 dest
。
如果要移动文件的话,请使用 rename() 函数。
rmdir():删除目录
bool rmdir ( string $dirname
[, resource $context
] )
尝试删除 dirname
所指定的目录。 该目录必须是空的,而且要有相应的权限。
unlink():删除文件
bool unlink ( string $filename
[, resource $context
] )
删除 filename
。和 Unix C 的 unlink() 函数相似
delete():删除文件,类似unlink()与rmdir()
void delete ( void )
fwrite():写入文件(可安全用于二进制文件)
int fwrite ( resource $handle
, string $string
[, int $length
] )
fwrite() 把 string
的内容写入 文件指针 handle
处。
chmod():改变文件模式
bool chmod ( string $filename
, int $mode
)
尝试将 filename
所指定文件的模式改成 mode
所给定的。
fgetc():从文件指针中读取字符
string fgetc ( resource $handle
)
从文件句柄中获取一个字符。
fgetcsv():从文件指针中读入一行并解析 CSV 字段
array fgetcsv ( resource $handle
[, int $length
= 0 [, string $delimiter
= ',' [, string $enclosure
= '"' [, string $escape
= '\\' ]]]] )
从文件指针中读取一行,fgetcsv() 解析读入的行并找出 CSV 格式的字段然后返回一个包含这些字段的数组。
fgets():从文件指针中读取一行
string fgets ( resource $handle
[, int $length
] )
fgetss():从文件指针中读取一行并过滤掉 HTML和PHP标记
string fgetss ( resource $handle
[, int $length
[, string $allowable_tags
]] )
file():把整个文件读入一个数组中
array file ( string $filename
[, int $flags
= 0 [, resource $context
]] )
file_get_contents():将整个文件读入一个字符串
string file_get_contents ( string $filename
[, bool $use_include_path
= false [, resource $context
[, int $offset
= -1 [, int $maxlen
]]]] )
将在参数 offset
所指定的位置开始读取长度为 maxlen
的内容
fread():读取文件(可安全用于二进制文件)
string fread ( resource $handle
, int $length
)
fread() 从文件指针 handle
读取最多 length
个字节
readfile():输出一个文件
int readfile ( string $filename
[, bool $use_include_path
= false [, resource $context
]] )
读入一个文件并写入到输出缓冲。
ftruncate():将文件截断到给定的长度
bool ftruncate ( resource $handle
, int $size
)
接受文件指针 handle
作为参数,并将文件大小截取为 size
。
file_put_contents():将一个字符串写入文件
int file_put_contents ( string $filename
, mixed $data
[, int $flags
= 0 [, resource $context
]] )
fputcsv():将行格式化为 CSV 并写入文件指针
int fputcsv ( resource $handle
, array $fields
[, string $delimiter
= ',' [, string $enclosure
= '"' ]] )
fputs():fwrite() 的别名
fopen():打开文件或者 URL
resource fopen ( string $filename
, string $mode
[, bool $use_include_path
= false [, resource $context
]] )
文件上传漏洞
审计函数:move_uploaded_file():将上传的文件移动到新位置
bool move_uploaded_file ( string $filename
, string $destination
)
相关的超全局变量$_FILES
防御
1、使用白名单方式检测文件后缀
2、上传之后按时间能算法生成文件名称
3、上传目录脚本文件不可执行
4、注意%00截断
5、Content-Type 验证