SQL注入漏洞原理及防御（I春秋在线实验室，保存笔记）

实验环境

漏洞介绍

认识SQL注入漏洞

SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一，它也是目前被利用得最多的漏洞。

要学会如何防御SQL注入，我们首先要对他的原理进行了解。

SQL注入（SQLInjection）是这样一种漏洞：当我们的Web app在向后台数据库传递SQL语句进行数据库操作时。

如果对用户输入的参数没有经过严格的过滤处理，那么恶意访问者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。

漏洞危害

1.直接就造成数据库中的数据泄露

2.如果数据库连接用户具备高权限，则可能导致恶意访问者获取服务器控制权

3.众多安全事件的切入点。

漏洞分析与防护

Part 1：简单漏洞实例

首先，我们打开浏览器输入测试平台的地址，选择SQL注入漏洞进行分析。

源码分析

该页面中是一个简单的漏洞源码示例，在接收到用户的提交数据后，对输入的内容没有任何过滤。所以我们通过简单的SQL注入语句构造就可以对数据库中的内容进行操作。我们先分析该页面的源代码：

<?php 
include("sql-connections/sql-connect.php");
error_reporting(0);
$id = isset($_GET['id']) ? $_GET['id']:'1';
$sql="SELECT * FROM news WHERE id='$id'";
//用户输入完全未过滤，直接带入SQL语句，导致SQL注入
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
 if($row)
 {
   echo "<table class='table table-striped'>";
   echo '<tr><td>'. $row['title'].'</td></tr>  ';
   echo '<tr><td>' .$row['content'].'</td></tr>';
   echo "</table>";
   }
 else 
 {
 echo "<br>";
 echo '<font color= "red">';
 print_r(mysql_error());
 echo "</font>";  
 }
 ?>

在这段代码中，通过变量"$sql"来执行相应的SELECT语句，但是对用户输入的变量"$id"并没有任何处理,造成了SQL注入漏洞的产生。接下来，我们通过简单的测试，验证此处SQL注入的存在。

漏洞验证

首先，我们在输入的末端添加一个 ‘ ' ’ 单引号，对输入内容进行闭合，并在之后添加判断语句: ' and 1=1 --+ //"--+或者#为注释符，用于截断原SQL语句末尾原有的单引号"

注入代码= `?id=1' and 1=1 --+`

实现单引号绕过,服务端在接收到这段输入内容之后，执行的SQL语句就变为了： select * from users where id='1' and 1=1 --+ //由于"and 1 = 1"是恒真的，所有查询的结果正常显示

注入代码= `?id=1' and 1=2 --+`

这时，我们对输入的内容稍微修改，输入'and 1=2 --+ 服务端执行的SQL语句就变为了：

select * from users where id='1' and 1=2 --+ //此时，由于and 1=2恒为假，所以并没有返回信息，所以确定存在注入漏洞。

在验证漏洞存在之后，我们就可以进行各种语句的构造，操作数据库中的内容。以下实验内容，大家可以任意尝试。

注入代码= `?id=1' order by 4 --+`

判断字段长度 'Order by 4 服务端执行语句为: select * from users where id='1' order by 4 --+ 通过Order by 函数判断列长度，由报错信息判断列长度小于4，继续向下尝试。

注入代码= `?id=1' order by 3 --+`

再次判断字段长度 Order by 3 服务端执行语句为: select * from users where id='1' order by 3 --+
通过Order by 函数判断列长度，无报错信息判断列长度等于3，根据收集信息进一步注入。

注入代码

= ?id=1'and 1=2 union select 1,user(),database() --+

获取敏感信息 'and 1=2 union select 1,user(),database() --+ 服务端执行语句为: select * from users where id='1' and 1=2 union select 1,user(),database() --+ 爆出服务端MySQL当前用户名，当前数据库名，可以利用数据库名进一步获取表名。

注入获取表名

注入代码

= ?id=1'and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

服务端执行语句为: select * from users where id='1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+ 默认MySQL information_schema数据库中保存了数据库所有数据库表和列的信息，因此我用利用这个特性去查询表和列名。获取到表名后，依旧利用information_schema数据库查询列名。

注入代码

= ?id=1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

服务端执行语句为: select * from users where id='1'and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+ 获取USER表,列名称。

注入代码

='and 1=2 union select 1,group_concat(name),group_concat(pass) from users --+

注入获取用户数据服务端执行语句为: select * from users where id='1' and 1=2 union select 1,group_concat(name),group_concat(pass) from users --+<br> 通过group_concat获取所有用户数据，最终实现脱裤(得到数据库中的数据)。

Part2 漏洞防护总结

最佳防御代码策略

PDO prepare参数化语句

PHP数据对象(PHP Date Object PDO)框架最常用的数据库接口之一，通过使用问号占位符来支持参数化语句。

安全示例代码1

<?php 
$dbh = new PDO("mysql:host=localhost;dbname=demo","user","pass");
$dbh->exec("set names 'GBK'");
$sql = "select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($name,$pass));
?>

这段代码虽然使用了PDO prepare方式处理查询，但是当PHP版本在5.3.6之前还是存在宽字节注入漏洞，原因在于使用了本地模拟Prepare，在把完整SQL语句发送给服务器，并且编码设置了GBK，所以会有PHP和MYSQL编码不一致原因导致注入，解决方法是使用ATTR_EMULATE_PREPARES来禁用PHP本地模拟prepare。

安全示例代码2

<?php 
$dbh = new PDO("mysql:host=localhost;dbname=demo","user","pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
$dbh->exec("set names 'utf8'");
$sql = "select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($name,$pass));
 ?>

这里使用某CMS SQL注入防护系统代码，在安全编码的习惯基础上，在向数据库发送执行请求时，所有请求必须经过防注入函数二次验证，最大程度上避免了SQL注入漏洞的产生。

注意：不要忽略X-Forwarded-For，Header，Refferer参数包括从数据库取出时也要经过安全函数过滤，因为这些攻击者完全可以通过抓包修改这些参数，一切输入甚至输出都可能是有害的。

 private static function _do_query_safe($sql) {
  $sql = str_replace(array('\\\\', '\\\'', '\\"', '\'\''), '', $sql);
  $mark = $clean = '';
  if (strpos($sql, '/') === false && strpos($sql, '#') === false && strpos($sql, '-- ') === false && strpos($sql, '@') === false && strpos($sql, '`') === false) {
   $clean = preg_replace("/'(.+?)'/s", '', $sql);
  } else {
   $len = strlen($sql);
   $mark = $clean = '';
   for ($i = 0; $i < $len; $i++) {
    $str = $sql[$i];
    switch ($str) {
     case '`':
      if(!$mark) {
       $mark = '`';
       $clean .= $str;
      } elseif ($mark == '`') {
       $mark = '';
      }
      break;
     case '\'':
      if (!$mark) {
       $mark = '\'';
       $clean .= $str;
      } elseif ($mark == '\'') {
       $mark = '';
      }
      break;
      ...
    }
    $clean .= $mark ? '' : $str;
   }
  }

  if(strpos($clean, '@') !== false) {
   return '-3';
  }

  $clean = preg_replace("/[^a-z0-9_\-\(\)#\*\/\"]+/is", "", strtolower($clean));

  if (self::$config['afullnote']) {
   $clean = str_replace('/**/', '', $clean);
  }

  ...
  return 1;
 }

设计输入验证和处理策略

输入验证是一种在保护应用程序安全方面很有用的工具。不过，他只能作为深度防御策略（包含多个防护层以保护应用程序的总体安全）的一个子部分。

在应用程序输入层使用白名单输入验证以便验证所有用户输入都符合应用要接收的内容。应用只允许接收符合期望格式的输入

在客户端浏览器上同样执行白名单输入验证，这样可以防止为用户输入不可接收的数据时服务器和浏览器的往返传递。不能将该操作作为安全控制手段，因为攻击者可以修改来自用户浏览器的所有数据。

在Web应用防火墙（WAF）层使用黑名单和白名单输入验证（以漏洞“签名”和“有经验”行为的形式）以便提供入侵检测/阻止功能和监控应用攻击。

在应用程序中自始自终地使用参数化语句以保证执行安全地SQL执行。

在数据库中使用编码技术以便在动态SQL中使用输入时安全地对其编码。

在使用从数据库中提取数据之前恰当地对其进行编码。例如将浏览器中显示的数据针对跨站脚本进行编码。

其他防御方式

GPC/RUNTIME魔术引号

通常数据污染有两种方式，一种是应用被动接受参数，类似于GET,POST等；还有一种是主动获取参数，类似于读取远程页面或者文件内容等。所以防止SQL注入的方法就是要守住这两条路。

magic_quotes_gpc负责对GET,POST，COOKIE的值进行过滤，magic_quotes_runtime对从数据库或者文件中获取的数据进行过滤。通常在开启这两个选项之后能防住部分SQL注入漏洞被利用，因为我们之前也介绍了，在某些环境下存在绕过，在INT型注入上是没有多大作用的。

在PHP.INI配置GPC RUTIME启用状态

测试代码如下:

<?php
echo ($_GET['ichunqiu']); ?>

GPC关闭状态下，可以看到GET请求未经过过滤显示。

& GPC开启状态，自动对GET获取的数据进行了转义。

过滤函数和类

在PHP5.4之前，可以利用魔术引号来解决部分SQL注入的问题。而GPC在面对INT型注入时，也无法进行很好的防御。所以在通常的工作场景中，用得多的还是过滤函数和类。不过如果单纯的过滤函数写得不够严谨，也会出现绕过的情况。这时候可以使用预编译语句来绑定变量，一般情况下这是防御SQL注入的最佳方式。

mysql[real]escape_string函数

mysql_escape_string和mysql_real_escape_string函数都是对字符串进行过滤，在PHP4.0.3以上版本才存在。以下字符会受到影响： [\x00][\n][\r][\][']["][\x1a] 两个函数唯一不一样的地方在于mysql_real_escape_string接受的是一个连接句柄并根据当前字符串，所以推荐使用mysql_real_escape_string。

测试代码如下：

<?php
$con = @mysql_connect("localhost","root","root");
$id = mysql_real_escape_string($_GET['ichunqiu'],$con);
echo "$id";
?>

intval等字符转换

上面我们提到的过滤方式，在int类型注入时效果并不好，比如可以通过报错或者忙注等方式来绕过，这时候intval等函数就起作用了，intval的作用是将变量转换成int类型，这里举例intval是要表达一种方式，一种利用参数类型白名单的方式来防止漏洞。

代码示例 1

<?php
$id=intval($id);
if($id)
{
  $sql="select * from users where uid=".$id;
  mysql_query($sql,$con);
}

测试效果如下：将数据强制转换成为INT，避免了闭合单引号绕过的风险。

代码示例 2

$con = mysql_connect("localhost","mysql_user","mysql_pwd");

$id=$_GET['id'];
//字符型的使用mysql_real_escape_string进行处理即：$id=mysql_real_escape_string($id);
//如果使用了odp框架，字符型的可调用escapeString()方法进行过滤
$id=intval($id);

sql="select username,password from users where uid=".$id;
mysql_query($sql,$con);

在使用intval过滤时，不要使用if(intval($id))，这样会过滤失效，而应该使用

$id=intval($id);
if($id)
{
    $sql="select username,password from users where uid=".$id;
    mysql_query($sql,$con);
}

思考

SQL注入使用内置安全转义函数过滤。