php多字节注入

一封老邮件:

之前出现的问题就是当数据库字符集设置为gbk时,%bf%27这个调用mysql_real_escape_string转化后会出现%bf%5c%27仍然会出现安全问题。

例子:

http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html

中文介绍:

http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html

文中采用如下方式去设置字符集,当然我们看到大部分程序都是通过这种方式设置字符集的:

mysql_query(“SET CHARACTER SET ‘gbk'”, $c); 或者mysql_query(“SET NAMES ‘gbk’ “, $c);

这种调用会导致mysql_real_escape_string 出现问题,也就是比较常见的%bf%27转义后会成为%bf%5c%27,但是%bf%5c是一个合法的gbk字符,导致了安全问题的产生

值得注意是在php手册中说明了这个函数会根据当前字符集处理转义。也就是说这种情况下,并没有根据当前字符集(我们设置的gbk)进行转义还是采用了latin1,或者说明上面的这句话并不会改变mysql_real_escape_string对字符集的认识。

做个试验会发现你如果用mysqli(mysql的一个扩展方式php_mysqli.dll)的方法$mysqli->set_charset设置字符集之后,调用$mysqli->real_escape_string(也是转义函数)就能够正常处理这个问题了,%bf%27会转化为%5c%bf%5c%27。而不是%bf%5c%27

说明一下两种php调用mysql的流程:

1)调用mysql_real_escape_string是调用在php_mysql.dll扩展中定义的php函数,然后最终会调用libmysql.dll的导出函数mysql_real_escape_string

2)调用$mysqli->real_escape_string是调用在php_mysqli.dll扩展中定义的php函数,然后最终也会调用libmysql.dll的导出函数mysql_real_escape_string

可以看出两种方式都最终都调用了相同的函数,所以看来php_mysql.dll中的mysql_real_escape_string并没有根据set names ‘gbk’进行转化。

通过参考 http://dev.mysql.com/doc/refman/5.1-maria/en/mysql-real-escape-string.html 中的一段话可以发现:

If you need to change the character set of the connection, you should use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.

这表明set names只是设置了服务器端的编码,对mysql_real_escape_string()没有影响,所以有效地方式是调用mysql_set_character_set(),php_mysqli里面有相关调用。在“低版本”的php_mysql.dll中没有定义可以设置charset的接口,所以不得不采用set names 的方式,所以导致了问题的产生。

在高版本php中,PHP 5 >= 5.2.3有了一个新函数mysql_set_charset这时设置字符集后,就不会在产生转义导致的安全问题了。

这个问题还是比较典型,最开始是mysql的bug,没有考虑多字节的转义,后来php又没有提供相应的php函数接口,导致安全问题的产生,具体细节请看参考连接。

Discuz的处理方式:

调用先调用SET NAMES gbk , 然后 SET character_set_client = binary 设置连接参数,这句话会保证%bf%5c%27 select不会产生问题,但最终查了什么我试了很多次都没有得到结果,这里面有一个问题就是,如果在insert时就会导致connection转化client导致转化成空的字符,所以也谈不上完美的方式。

解决方法:

Mysql升级到高版本;

升级php到高版本或者添加自定义补丁到低版本php中添加对mysql_set_character_set()的调用,或者低版本中采用mysqli;

参考:

http://bugs.mysql.com/bug.php?id=8378

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • php.ini设置详解
    php.ini设置,上传大文件: post_max_size = 128Mupload_max_filesize ...
    bycall阅读 6,834评论 3 64
  • nginx-php-mysql
    更改ip和dnsVi /etc/sysconfig/network-scripts/ifcfg-eth0vi /...
    Xwei_阅读 1,861评论 0 3
  • 今天——分别2017.8.21
    不知道为什么发布不了,所有文字成空。 而自己,一般都是一次性文字,写了不会再写。 所以有的话心里过一遍就好。 短暂...
    漫漫无忧阅读 136评论 6 9
  • 同舟共济
    因为上一周表现好,所以老师就让我们今天举行一个活动,叫做:同舟共济。 老师让我们拿好垫子到下面去,然后老师...
    故乡先生阅读 365评论 0 2
  • 你的气质里,藏着你走过的路。
    晨读感悟 今天晨读材料分享的书叫《气质》。 气质 每个人都有独一无二的气质。更多的内心修炼都可以培养更好的气质,有...
    xz蓝天阅读 918评论 1 4