浅谈开启magic_quotes_gpc后的sql注入攻与防 3M$X:$b
通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外。 )l{A{f6O
uRGB/ju^E
开启magic_quotes_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。 5Jw"{V?Ak
Y^5"qd|`
虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。 pe#*I/)b
tnL."^%A2I
前面已经提到过,开启magic_quotes_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。 z'e1"Y.
um}N%5GAa
实例演示: =N;$0Y(g
voH4
假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quotes_gpc启用。 !*8#jy
L77EbP`P
SQL语句:sql="select∗fromuserswhereusername=name and password='pwd′";注意:变量name没加引号 -sx-7LKi
s8yCC#H"
此时,在地址栏中输入username=admin%23,则合成后的sql语句为: |zb`&tv}
&R0OeRToUb
select * from users where username='admin\' #' and password=''; n)Hk8)^8
(Q\\Gw
这时候通过url地址栏输入的单引号(’)将被加上反斜线,该sql语句将失效。 .u&|e
U* 4{"
admin转换成ASCII后是char(97,100,109,105,110) Io09W ^
G~O" / WM
此时在地址栏中输入username=char(97,100,109,105,110)%23 /XjN%|
:mzCeX8 *
SQL语句就变成了: H'D#s;SlR
Ko@zk<~"[
select * from users where username=char(97,100,109,105,110)#' and password=''; OA!R5sOz"
^P]?3U\nj
执行结果为真,就可以顺利进入后台。 2B5A!?~>
o; 6fvn
对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。 :EYu 4Y
poTl|y @
比如:id=intval(_GET[‘id’]); oo;;y,`8py
@< wYT$
select * from articles where id=’$id’; n9N#&Q"7m
,LoMt ]H
地址栏中输入:id=5’ or 1=1%23 (zjz]@qJ
)3BR[*u*
SQL语句将变成:select * from articles where id=’5’; ~8XX3+]z:X
N>Vacc_[
而不是select * from articles where id=’5’ or 1=1#; fui4@
YgO aZqN
总结: \Oi5=,
V?U%C%C|e
对于每一个变量都记得加上单引号,比如where username=’$name’,
_8,vk-,'
开启magic_quotes_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字