php教程.ini magic_quotes_gpc配置防注入方法
1. php 配置文件 php.ini 中的 magic_quotes_gpc 選項沒有打開,被置為 off
2. 開發者沒有對數據類型進行檢查和轉義
不過事實上,第二點最為重要。我認為, 對用戶輸入的數據類型進行檢查,向 mysql教程 提交正確的數據類型,這應該是一個 web 程序員最最基本的素質。但現實中,常常有許多小白式的 web 開發者忘了這點, 從而導致後門大開。
為什麼說第二點最為重要?因為如果沒有第二點的保證,magic_quotes_gpc 選項,不論為 on,還是為 off,都有可能引發 sql 注入攻擊。下面來看一下技術實現:
一. magic_quotes_gpc = off 時的注入攻擊
magic_quotes_gpc = off 是 php 中一種非常不安全的選項。新版本的 php 已經將默認的值改為了 on。但仍有相當多的服務器的選項為 off。畢竟,再古董的服務器也是有人用的。
當magic_quotes_gpc = on 時,它會將提交的變量中所有的 '(單引號)、"(雙號號)、(反斜線)、空白字符,都為在前面自動加上 。下面是 php 的官方說明:
復制代碼 代碼如下:
magic_quotes_gpc boolean
sets the magic_quotes state for gpc (get/post/cookie) operations. when magic_quotes are on, all ' (single-quote), " (double quote), (backslash) and nul's are escaped with a backslash automatically
如果沒有轉義,即 off 情況下,就會讓攻擊者有機可乘。以下列測試腳本為例:
復制代碼 代碼如下:
<?
if ( isset($_post["f_login"] ) )
{
// 連接數據庫教程...
// ...代碼略...// 檢查用戶是否存在
$t_struname = $_post["f_uname"];
$t_strpwd = $_post["f_pwd"];
$t_strsql = "select * from tbl_users where username='$t_struname' and password = '$t_strpwd' limit 0,1";if ( $t_hres = mysql_query($t_strsql) )
{
// 成功查詢之後的處理. 略...
}
}
?><html><head><title>sample test</title></head>
<body>
<form method=post action="">
username: <input type="text" name="f_uname" size=30><br>
password: <input type=text name="f_pwd" size=30><br><input type="submit" name="f_login" value="登錄">
</form>
</body>
1 2 3 4 5
