在php中全面阻止sql注入式攻擊之二
一、 建立一個安全抽象層
我們并不建議你手工地把前面介紹的技術應用于每一個用戶輸入的實例中,而是強烈推薦你為此創建一個抽象層。一個簡單的抽象是把你的校驗方案加入到一個函數中,并且針對用戶輸入的每一項調用這個函數。當然,我們還可以創建一種更復雜的更高一級的抽象-把一個安全的查詢封裝到一個類中,從而應用于整個應用程序。在網上已經存在許多這種現成的免費的類;在本篇中,我們正要討論其中的一些。
進行這種抽象至少存在三個優點(而且每一個都會改進安全級別):
1. 本地化代碼。
2. 使查詢的構造更快且更為可靠-因為這可以把部分工作交由抽象代碼來實現。
3. 當基于安全特征進行構建并且恰當使用時,這將會有效地防止我們前面所討論的各種各樣的注入式攻擊。
二、 改進現有的應用程序
如果你想改進一個現有的應用程序,則使用一個簡單的抽象層是最適當的。一個能夠簡單地"清理"你所收集的任何用戶輸入內容的函數可能看起來如下所示:
function safe( $string ) {
return "'" . mysql_real_escape_string( $string ) . "'"
}
【注意】我們已經構建了相應于值要求的單引號以及mysql_real_escape_string()函數。接下來,就可以使用這個函數來構造一個$query變量,如下所示:
$variety = safe( $_post['variety'] );
$query = " select * from wines where variety=" . $variety;
現在,你的用戶試圖進行一個注入式攻擊-通過輸入下列內容作為變量$variety的值:
lagrein' or 1=1;
注意,如果不進行上面的"清理",則最后的查詢將如下所示(這將導致無法預料的結果):
select * from wines where variety = 'lagrein' or 1=1;'
然而現在,既然用戶的輸入已經被清理,那么查詢語句就成為下面這樣一種無危害的形式:
select * from wines where variety = 'lagrein/' or 1=1/;'
既然數據庫中不存在與指定的值相應的variety域(這正是惡意用戶所輸入的內容-lagrein' or 1=1;),那么,這個查詢將不能返回任何結果,并且注入將會失敗。
三、 保護一個新的應用程序
如果你正在創建一個新的應用程序,那么,你可以從頭開始創建一個安全抽象層。如今,php 5新改進的對于mysql的支持(這主要體現在新的mysqli擴展中)為這種安全特征提供了強有力的支持(既有過程性的,也有面向對象特征的)。你可以從站點http://php.net/mysqli上獲取有關mysqli的信息。注意,只有當你使用--with-mysqli=path/to/mysql_config選項編譯php時,這種mysqli支持才可用。下面是該代碼的一個過程性版本,用于保護一個基于mysqli的查詢:
<?php
//檢索用戶的輸入
$animalname = $_post['animalname'];
//連接到數據庫
$connect = mysqli_connect( 'localhost', 'username', 'password', 'database' );
if ( !$connect ) exit( 'connection failed: ' . mysqli_connect_error() );
//創建一個查詢語句源
$stmt = mysqli_prepare( $connect,"select intelligence from animals where name = ?" );
if ( $stmt ) {
//把替代綁定到語句上
mysqli_stmt_bind_param( $stmt, "s", $animalname );
//執行該語句
mysqli_stmt_execute( $stmt );
//檢索結果...
mysqli_stmt_bind_result( $stmt, $intelligence );
// ...并顯示它
if ( mysqli_stmt_fetch( $stmt ) ) {
print "a $animalname has $intelligence intelligence./n";
} else {
print 'sorry, no records found.';
}
//清除語句源
mysqli_stmt_close( $stmt );
}
mysqli_close( $connect );
?>
該mysqli擴展提供了一組函數用于構造和執行查詢。而且,它也非常準確地提供了前面使用我們自己的safe()函數所實現的功能。
在上面的片斷中,首先收集用戶提交的輸入內容并建立數據庫連接。然后,使用mysqli_prepare()函數創建一個查詢語句源-在此命名為$stmt以反映使用它的函數的名稱。這個函數使用了兩個參數:連接資源和一個字符串(每當你使用擴展插入一個值時,"?"標記被插入到其中)。在本例中,你僅有一個這樣的值-動物的名字。
注意,在一個select語句中,放置"?"標記的唯一的有效位置是在值比較部分。這正是為什么你不需要指定使用哪個變量的原因(除了在mysqli_stmt_bind_param()函數中之外)。在此,你還需要指定它的類型-在本例中,"s"代表字符串。其它可能的類型有:"i"代表整數,"d"代表雙精度數(或浮點數),而"b"代表二進制字符串。
函數mysqli_stmt_execute(),mysqli_stmt_bind_result()和mysqli_stmt_fetch()負責執行查詢并檢索結果。如果存在檢索結果,則顯示它們;如果不存在結果,則顯示一條無害的消息。最后,你需要關閉$stmt資源以及數據庫連接-從內存中對它們加以釋放。
假定一個合法的用戶輸入了字符串"lemming",那么這個例程將(假定是數據庫中適當的數據)輸出消息"a lemming has very low intelligence."。假定存在一個嘗試性注入-例如"lemming' or 1=1;",那么這個例程將打印(無害)消息"sorry, no records found."。
此外,mysqli擴展還提供了一個面向對象版本的相同的例程。下面,我們想說明這種版本的使用方法。
<?php
$animalname = $_post['animalname'];
$mysqli = new mysqli( 'localhost', 'username', 'password', 'database');
if ( !$mysqli ) exit( 'connection failed: ' . mysqli_connect_error() );
$stmt = $mysqli->prepare( "select intelligence
from animals where name = ?" );
if ( $stmt ) {
$stmt->bind_param( "s", $animalname );
$stmt->execute();
$stmt->bind_result( $intelligence );
if ( $stmt->fetch() ) {
print "a $animalname has $intelligence intelligence./n";
} else {
print 'sorry, no records found.';
}
$stmt->close();
}
$mysqli->close();
?>
實際上,這部分代碼是前面描述代碼的復制-它使用了一種面向對象的語法和組織方法,而不是嚴格的過程式代碼。 四、 更高級的抽象
如果你使用外部庫peardb,那么,你可以對應用程序的安全保護模塊進行全面的抽象。
另一方面,使用這個庫存在一個突出的缺點:你只能受限于某些人的思想,而且代碼管理方面也添加了大量的工作。為此,在決定是否使用它們之前,你需要進行仔細地斟酌。如果你決定這樣做,那么,你至少確保它們能夠真正幫助你"清理"你的用戶輸入的內容。
五、 測試你的注入式保護能力
正如我們在前面所討論的,確保你的腳本安全的一個重要的部分是對它們進行測試。為此,最好的辦法是你自己創建sql代碼注入測試。
在此,我們提供了一個這種測試的示例。在本例中,我們測試對一個select語句的注入式攻擊。
<?php
//被測試的保護函數
function safe( $string ) {
return "'" . mysql_real_escape_string( $string ) . "'"
}
//連接到數據庫
///////////////////////
//試圖進行注入
///////////////////////
$exploit = "lemming' and 1=1;";
//進行清理
$safe = safe( $exploit );
$query = "select * from animals where name = $safe";
$result = mysql_query( $query );
//測試是否保護是足夠的
if ( $result && mysql_num_rows( $result ) == 1 ) {
exitt "protection succeeded:/n
exploit $exploit was neutralized.";
}
else {
exit( "protection failed:/n
exploit $exploit was able to retrieve all rows." );
}
?>
如果你想創建這樣的一個測試集,并試驗基于不同的sql命令的各種不同的注入,那么,你將會很快地探測出你的保護策略中的任何漏洞。一旦糾正這些問題,那么,你就可以很有把握-你已經建立起真正的注入式攻擊保護機制。
六、 小結
在本系列文章一開始,我們通過一個sql注入討論分析了對你的腳本的特定威脅-由不恰當的用戶輸入所致。之后,我們描述了sql注入的工作原理并精確地分析了php是怎樣易于被注入的。然后,我們提供了一個實際中的注入示例。之后,我們推薦一系列措施來使試圖的注入攻擊變為無害的-這將分別通過確保使所有提交的值以引號封閉,通過檢查用戶提交值的類型,以及通過過濾掉你的用戶輸入的潛在危險的字符等方法來實現的。最后,我們推薦,你最好對你的校驗例程進行抽象,并針對更改一個現有應用程序提供了腳本示例。然后,我們討論了第三方抽象方案的優缺點。
全文完
