SQL註入的四種防禦方法總結
前言
最近瞭解到安全公司的面試中都問到瞭很多關於SQL註入的一些原理和註入類型的問題,甚至是SQL註入的防禦方法。SQL註入真的算是web漏洞中的元老瞭,著名且危害性極大。下面這裡就簡單的分享一下我總結的四種SQL註入防禦手段,加深理解,方便下次遇到這種問題時可以直接拿來使用。(主要是怕面試中腦殼打鐵,這種情況太常見瞭)
SQL註入占我們滲透學習中極大地一部分,擁有這很重要的地位。隨著防禦手段的不段深入,市面上存在SQL註入的網站的確少之又少瞭,但不能說是沒有。在我看來,學習SQL註入的目的並不隻是學習針對這種方法,而是一類方法,包括他的思想,思路和奇淫技巧,簡單點說就是舉一反三。學到現在發現好像越向後面學其他漏洞,方法思路都大體一致,比如字符串拼接,構造閉合語句,函數替代等等。
好瞭,說瞭這麼多,現在我們步入正題吧!
我們簡單理解SQL註入就是在人為可以構造參數的地方加入一些非法敏感語句,繞過後端的處理,並帶入到數據庫中執行,然後返回敏感數據的過程。
限制數據類型
在傳入參數的地方限制參數的類型,比如整型 Integer,隨後加入函數判斷,如is_numeric($_GET[‘id’]) 隻有當get到的id為數字或者數字字符時才能執行下一步,限制瞭字字符自然就限制瞭註入,畢竟構造參數怎麼可能不傳入字符。但這種方法存在一定的限制,隻能在特定的頁面才能使用,一般大部分都是要求我們傳入的字符串,但可以很大程度限制整型註入的情況。(針對此函數也是有一定繞過手段,比如轉為十六進制)
正則表達式匹配傳入參數
相信對於正則表達式大傢都不陌生瞭,幾乎在過濾比較嚴格的地方都有正則表達式。(後面我也會寫一篇關於使用正則表達式的文章,包括基礎的使用和繞過)。這裡簡單解讀一下這段正則表達式:
$id=$_POST['id'];
if (preg_match('/and|select|insert|insert|update|[A-Za-z]|/d+:/i', $id)) {
die('stop hacking!');
} else {
echo 'good';
}
preg_match() 函數匹配傳入的id值,
/ 作為正則的起始標識符
| 代表或
[A-Za-z] 表示匹配參數中是否存在大小寫的26個字符
/d 匹配是否存在數字
+匹配一次或多次
/i 不區分大小寫
像下面這句:
?id=1’ union select 1,2# 因為匹配到union select,輸出 stop hacking!
正則表達式也具有一定危險性,在SQL註入繞過waf中談到過,正則表達式匹配非常消耗性能,因此攻擊時可以構造大量的正常語句‘騙’過服務器,當後臺對數據的處理達到最大限制時就會放棄匹配後面我們構造的非法語句,從而略過這個數據包。
函數過濾轉義
在php中最基本的就是自帶的magic_quotes_gpc函數,用於處理 ’ " 符號加上/ 防止轉義, 比如:
?id=1' and 1=1# ===> ?id=1/' and 1=1#
另外還有addslashes(),也具有相同的效果。
像前面提到的**preg_match()**函數結合正則表達式或者黑名單也具有預防效果。
小tips:默認情況下,PHP 指令 magic_quotes_gpc 為 on,對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。
mysql_escape_string($string):用反斜杠轉義字符串中的特殊字符,用於mysql_query()查詢。
mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。
轉義的符號包括 \x00 \n \r \ ’ " \x1a
預編譯語句
預編譯語句對現在的程序員來說基本都會去設計使用的方法,保障數據庫的安全。一般來說,防禦SQL註入的最佳方式就是使用預編譯語句,綁定變量。
String query="select password from users where username='?' ";
下面講一下什麼叫預編譯:使用預編譯相當於是將數據於代碼分離的方式,把傳入的參數綁定為一個變量,用?表示,攻擊者無法改變SQL的結構,在這個例子中,即使攻擊者插入類似 admin’ or 1=1# 的字符串,如果不做處理直接帶入查詢,那麼query則變成瞭
query="select password from users where username='admin' or 1=1 ";
閉合瞭後面的引號,從而執行瞭惡意代碼。而預編譯則是將傳入的 admin’ or 1=1# 當做純字符串的形式作為username執行,避免瞭上面說到的SQL語句中的拼接閉合查詢語句等過程,可以理解為字符串與sql語句的關系區分開,username此時作為字符串不會被當做之前的SQL語句被帶入數據庫執行,避免瞭類似sql語句拼接、閉合等非法操作。就相當於拿著這個字符串去數據庫中找有沒有這個東西一樣。並且使用預編譯的SQL語句,SQL語句的語義不會發生改變。
下面給個php綁定變量的事例:
$query="INSERT INTO myCity (Name,CountryCode,District) VALUES (?,?,?)";
$stmt=$mysqli->prepare($query);
$stmt->bind_param("sss",$val1,$val2,$val3);
$val1="Stuttgart";
$val2="DEU";
$val3="Baden";
//execute the statement
$stmt->execute();
以上談到的四種方法都是一些基本方法,具體怎麼實現防禦還要看怎麼去設計。說到預編譯語句是最佳方式,並不是說隻是使用這一種方法就能夠防止SQL註入,而實際上預編譯也存在註入繞過的問題,並且也不是所有的地方都能夠使用預編譯語句。最佳的方式應該是多種方法結合,使用預編譯的同時還要加上其他函數過濾,正則匹配等,更多的還有根據實際情況自定義函數確保安全。
總結
到此這篇關於SQL註入的四種防禦方法總結的文章就介紹到這瞭,更多相關SQL註入防禦方法內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!