最近在工作中遇到一个 SQL 注入,虽然影响不是很大,但也足够让我静下来思考,SQL 注入问题好像很简单、好像每个人都明白,但在实际的开发中还是会出现这样低级的错误,出现这样的问题个人觉得和 PHP 开发随意化有关,第二个原因可能是没有明白 SQL 注入的原理。
什么是 SQL 注入
在应用程序中,为了和用户交互,允许用户输入数据,假如开发者不慎重出现漏洞,攻击者输入一些特殊的字符从而让应用程序执行了危险的 SQL 操作。危险可大可小,小的泄漏了机密数据(比如用户信息),大的危害可能会删除整个数据库。
SQL 注入根本的原因就在于被攻击者构建了危险的 SQL,看 PHP 中的一个例子:
$sql = "select * from tb where name='" . $name . "'";
mysql_query($sql);
这时候假如 $name 的值被恶意输入 1' OR '1'='1,则最后的 SQL 就是select * from tb where name='1' OR '1'='1',从而查询出了所有的表数据,这就是比较简单的 SQL 注入。
构建危险 SQL 的主要原因在于 SQL 语句中的“双引号”、“单引号”、“关键字”。利用这些字符攻击者可以构建出很多其他语义的 SQL。
如何避免 SQL 注入
上面说到 SQL 注入的原因在于“双引号”、“单引号”、“关键字”,所以预防的方法就在于“破坏”这些特殊字符。主要有两种方法:
(1)过滤数据
在开发程序的时候,根据应用的限制,应该明确规定用户输入的数据是什么类型的,比如是字符串,还是整型,或者是富文本数据,应用程序就必须严格的限制,比如某些输入假如过滤了“单引号”等特殊符号,自然就构建不起危险的 SQL 了。
为什么在 PHP 语言中会出现很多的低级操作呢?有部分原因就在于 PHP 太灵活了,比如在数据层直接使用$_GET变量的值构建 SQL,从而导致问题。当然这不完全是语言的问题,主要在于语言结构太灵活,开发者肆无忌惮导致的。
(2)转义数据
由于“双引号”、“单引号”等特殊字符在 SQL 语句中有特殊的能力(指令),所以用户输入的这些特殊符号在构建 SQL 的时候就也有了特殊的含义,假如我们通过一种方式让用户输入的特殊符号没有其特殊能力(只有字符本身的含义),那么就不会出现 SQL 注入了,这种方式就是转义,在 MySql 中内置了这样的函数 mysql_real_escape_string()。
SQL 中 select/update/delete/insert 语句都需要转义,对于 insert 语句来说,转义不代表插入的数据在表中多了个反斜杠字符,这个概念一定要清楚,在数据库存储里面是不会放入反斜杠转义符号的。
接下来重点看看如何在 PHP 中进行转义数据。
mysql(mysqli) 扩展库
PHP 语言是从 C 语言发展而来的,所以早期其实很多函数和 C 语言函数同名,这也说明大部分 PHP 函数的实现就是调用 C 语言函数库。MySql 扩展就是典型的一个函数库(调用本地的 C 命令函数库)。
PHP 中的 mysql_real_escape_string() 函数就是执行转义的,只要在输入的数据变量上调用这个函数,就能解决大部分注入问题。
这个函数很简单,这里说说一个很古老的函数 addslashes(),在我早期使用 PHP 过程中,经常遇到这个函数,它也能对字符串进行转义,所以很多人用它代替 mysql_real_escape_string() 函数,其实这是不对的一种方法,因为两者转义的具体字符是不一样的,同时 addslashes() 不并是专门用户转义数据库中的字符。
抛开数据库操作来说,在如今的 PHP 中也不建议使用 addslashes() 函数,在 PHP 早期版本中,$_GET或$_POST 数据会自动进行 addslashes() 调用(猜测是为了保证数据的安全),可也破坏了一个规则——不应该修改用户的原始数据,所以在新版本 PHP 中,这个函数对应的 magic_quotes_gpc 指令是关闭的,但是从我的角度来看,PHP 开发者应该尽量去忘记这个函数的存在。
PDO
如何理解 PDO 呢?可以看看 mysqli 包的一些弱点:
- PHP 开发者可能会操作 MySql 或者其他类型的数据库,但是 mysqli 库只能操作 MySql,对于 PHP 开发者来说没有统一的接口去操作 SQL 语言(注意不是操作数据库)。
- mysqli 上的一些 SQL 操作功能缺乏,比如没有事务处理等等。
而 PDO 就能解决上述两个问题,而具体到转义操作上,PDO 通过Prepared Queries让你来构建更安全的 SQL 语句,对于 mysql_real_escape_string() 来说开发者还是需要自己构建 SQL 语句,而 PDO 可以提供更优雅的方式操作 SQL。
$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
$stmt->execute(array(':name' => $name, ':id' => $id));
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
$stmt = $db->prepare("UPDATE table SET name=? WHERE id=?");
$stmt->execute(array($name, $id));
$affected_rows = $stmt->rowCount();
