. magic_quotes_gpc = off 時的注入攻擊
magic_quotes_gpc = off 是 php教程 中一種非常不安全的選項。新版本的 php 已經將默認的值改為了 on。但仍有相當多的服務器的選項為 off。畢竟,再古董的服務器也是有人用的。
當magic_quotes_gpc = on 時,它會將提交的變量中所有的 '(單引號)、"(雙號號)、(反斜線)、空白字符,都為在前面自動加上 。下面是 php 的官方說明:
代碼如下:
magic_quotes_gpc boolean
sets the magic_quotes state for gpc (get/post/cookie) operations. when magic_quotes are on, all ' (single-quote), " (double quote), (backslash) and nul's are escaped with a backslash automatically
如果沒有轉義,即 off 情況下,就會讓攻擊者有機可乘。以下列測試腳本為例:
代碼如下:
<?
if ( isset($_post["f_login"] ) )
{
// 連接數據庫教程...
// ...代碼略...// 檢查用戶是否存在
$t_struname = $_post["f_uname"];
$t_strpwd = $_post["f_pwd"];
$t_strsql = "select * from tbl_users where username='$t_struname' and password = '$t_strpwd' limit 0,1";if ( $t_hres = mysql教程_query($t_strsql) )
{
// 成功查詢之後的處理. 略...
}
}
?>
<html><head><title>sample test</title></head>
<body>
<form method=post action="">
username: <input type="text" name="f_uname" size=30><br>
password: <input type=text name="f_pwd" size=30><br><input type="submit" name="f_login" value="登錄">
</form>
</body>
在這個腳本中,當用戶輸入正常的用戶名和密碼,假設值分別為 zhang3、abc123,則提交的 sql 語句如下:
代碼如下:
select * from tbl_users
where username='zhang3' and password = 'abc123' limit 0,1
如果攻擊者在 username 字段中輸入:zhang3' or 1=1 #,在 password 輸入 abc123,則提交的 sql 語句變成如下:
代碼如下:
select * from tbl_users
where username='zhang3' or 1=1 #' and password = 'abc123' limit 0,1
由於 # 是 mysql中的注釋符, #之後的語句不被執行,實現上這行語句就成了:
代碼如下:
select * from tbl_users
where username='zhang3' or 1=1
這樣攻擊者就可以繞過認證了。如果攻擊者知道數據庫結構,那麼它構建一個 union select,那就更危險了:
假設在 username 中輸入:zhang3 ' or 1 =1 union select cola, colb,cold from tbl_b #
在password 輸入: abc123,
則提交的 sql 語句變成:
代碼如下:
select * from tbl_users
where username='zhang3 '
or 1 =1 union select cola, colb,cold from tbl_b #' and password = 'abc123' limit 0,1
1 2 3 4