在PHP中全面阻止SQL注入式攻擊之一(1)

一、引言

PHP是一種力量強大但相當容易學習的服務器端腳本語言，即使是經驗不多的程序員也能夠使用它來創建復雜的動態的web站點。然而，它在實現因特網服務的秘密和安全方面卻常常存在許多困難。在本系列文章中，我們將向讀者介紹進行web開發所必需的安全背景以及PHP特定的知識和代碼-你可以借以保護你自己的web應用程序的安全性和一致性。首先，我們簡單地回顧一下服務器安全問題-展示你如何存取一個共享宿主環境下的私人信息，使開發者脫離開生產服務器，維持最新的軟件，提供加密的頻道，並且控制對你的系統的存取。

然後，我們討論PHP腳本實現中的普遍存在的脆弱性。我們將解釋如何保護你的腳本免於SQL注入，防止跨站點腳本化和遠程執行，並且阻止對臨時文件及會話的“劫持”。

在最後一篇中，我們將實現一個安全的Web應用程序。你將學習如何驗證用戶身份，授權並跟蹤應用程序使用，避免數據損失，安全地執行高風險性的系統命令，並能夠安全地使用web服務。無論你是否有足夠的PHP安全開發經驗，本系列文章都會提供豐富的信息來幫助你構建更為安全的在線應用程序。

二、什麼是SQL注入

如果你打算永遠不使用某些數據的話，那麼把它們存儲於一個數據庫是毫無意義的；因為數據庫的設計目的是為了方便地存取和操作數據庫中的數據。但是，如果只是簡單地這樣做則有可能會導致潛在的災難。這種情況並不主要是因為你自己可能偶然刪除數據庫中的一切；而是因為，當你試圖完成某項“無辜”的任務時，你有可能被某些人所"劫持"-使用他自己的破壞性數據來取代你自己的數據。我們稱這種取代為“注入”。

其實，每當你要求用戶輸入構造一個數據庫查詢，你是在允許該用戶參與構建一個存取數據庫服務器的命令。一位友好的用戶可能對實現這樣的操作感覺很滿意；然而，一位惡意的用戶將會試圖發現一種方法來扭曲該命令，從而導致該被的扭曲命令刪除數據，甚至做出更為危險的事情。作為一個程序員，你的任務是尋找一種方法來避免這樣的惡意攻擊。

三、SQL注入工作原理

構造一個數據庫查詢是一個非常直接的過程。典型地，它會遵循如下思路來實現。僅為說明問題，我們將假定你有一個葡萄酒數據庫表格“wines”，其中有一個字段為“variety”(即葡萄酒類型)：

1.提供一個表單-允許用戶提交某些要搜索的內容。讓我們假定用戶選擇搜索類型為“lagrein”的葡萄酒。

2.檢索該用戶的搜索術語，並且保存它-通過把它賦給一個如下所示的變量來實現：

$variety = $_POST['variety'];

因此，變量$variety的值現在為：

lagrein

3.然後，使用該變量在WHERE子句中構造一個數據庫查詢：

$query = "SELECT * FROM wines WHERE variety='$variety'";

所以，變量$query的值現在如下所示：

SELECT * FROM wines WHERE variety='lagrein'

4.把該查詢提交給MySQL服務器。

5.MySQL返回wines表格中的所有記錄-其中，字段variety的值為“lagrein”。

到目前為止，這應該是一個你所熟悉的而且是非常輕松的過程。遺憾的是，有時我們所熟悉並感到舒適的過程卻容易導致我們產生自滿情緒。現在，讓我們再重新分析一下剛才構建的查詢。

1.你創建的這個查詢的固定部分以一個單引號結束，你將使用它來描述變量值的開始：

$query = " SELECT * FROM wines WHERE variety = '";

2.使用原有的固定不變的部分與包含用戶提交的變量的值：

$query .= $variety;

3.然後，你使用另一個單引號來連接此結果-描述該變量值的結束：

$ query .= "'";

於是，$query的值如下所示：

SELECT * FROM wines WHERE variety = 'lagrein'

這個構造的成功依賴用戶的輸入。在本文示例中，你正在使用單個單詞(也可能是一組單詞)來指明一種葡萄酒類型。因此，該查詢的構建是無任何問題的，並且結果也會是你所期望的-一個葡萄酒類型為"lagrein"的葡萄酒列表。現在，讓我們想象，既然你的用戶不是輸入一個簡單的類型為"lagrein"的葡萄酒類型，而是輸入了下列內容(注意包括其中的兩個標點符號)：

lagrein' or 1=1;

現在，你繼續使用前面固定的部分來構造你的查詢(在此，我們僅顯示$query變量的結果值)：

SELECT * FROM wines WHERE variety = '

然後，你使用包含用戶輸入內容的變量的值與之進行連接(在此，以粗體顯示)：

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;

最後，添加上下面的下引號：

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

 

1