PHP的SQL注入攻擊技術實現以及預防措施

SQL攻擊（SQL injection，台灣稱作SQL資料隱碼攻擊），簡稱注入攻擊，是發生於應用程序之數據庫層的安全漏洞。簡而言之，是在輸入的字符串之中注入SQL指令，在設計不良的程序當中忽略了檢查，那麼這些注入進去的指令就會被數據庫服務器誤認為是正常的SQL指令而運行，因此遭到破壞。

有部份人認為SQL注入攻擊是只針對Microsoft SQL Server而來，但只要是支持批處理SQL指令的數據庫服務器，都有可能受到此種手法的攻擊。

原因

在應用程序中若有下列狀況，則可能應用程序正暴露在SQL Injection的高風險情況下：

在應用程序中使用字符串聯結方式組合SQL指令。

在應用程序鏈接數據庫時使用權限過大的賬戶（例如很多開發人員都喜歡用sa（內置的最高權限的系統管理員賬戶）連接Microsoft SQL Server數據庫）。

在數據庫中開放了不必要但權力過大的功能（例如在Microsoft SQL Server數據庫中的xp_cmdshell延伸預存程序或是OLE Automation預存程序等）

太過於信任用戶所輸入的數據，未限制輸入的字符數，以及未對用戶輸入的數據做潛在指令的檢查。

作用原理

SQL命令可查詢、插入、更新、刪除等，命令的串接。而以分號字符為不同命令的區別。（原本的作用是用於SubQuery或作為查詢、插入、更新、刪除……等的條件式）

SQL命令對於傳入的字符串參數是用單引號字符所包起來。《但連續2個單引號字符，在SQL數據庫中，則視為字符串中的一個單引號字符》

SQL命令中，可以注入注解《連續2個減號字符 -- 後的文字為注解，或“/*”與“*/”所包起來的文字為注解》

URL：http://www.bianceng.cn/webkf/PHP/201410/45946.htm

因此，如果在組合SQL的命令字符串時，未針對單引號字符作取代處理的話，將導致該字符變量在填入命令字符串時，被惡意竄改原本的SQL語法的作用。

SQL 注入攻擊的主要原因，是因為以下兩點原因：

1. php 配置文件 php.ini 中的 magic_quotes_gpc選項沒有打開，被置為 off；

2. 開發者沒有對數據類型進行檢查和轉義。

不過事實上，第二點最為重要。我認為， 對用戶輸入的數據類型進行檢查，向 MYSQL 提交正確的數據類型，這應該是一個 web 程序員最最基本的素質。但現實中，常常有許多小白式的 Web 開發者忘了這點，從而導致後門大開。

為什麼說第二點最為重要？因為如果沒有第二點的保證，magic_quotes_gpc 選項，不論為 on，還是為 off，都有可能引發 SQL 注入攻擊。下面來看一下技術實現：

一、 magic_quotes_gpc= Off 時的注入攻擊

magic_quotes_gpc = Off 是 php 中一種非常不安全的選項。新版本的 php 已經將默認的值改為了 On。但仍有相當多的服務器的選項為 off。畢竟，再古董的服務器也是有人用的。

當magic_quotes_gpc = On　時，它會將提交的變量中所有的 '(單引號)、"(雙號號)、(反斜線)、空白字符，都會在前面自動加上 。下面是 PHP的官方說明：

magic_quotes_gpc boolean

Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When magic_quotes are on, all ' (single-quote), " (double quote), (backslash) and NUL's are escaped with a backslash automatically

如果沒有轉義，即 off 情況下，就會讓攻擊者有機可乘。以下列測試腳本為例：

<?  
if (isset($_POST["f_login"])) {  
  // 連接數據庫...  
  // ...代碼略...  
  // 檢查用戶是否存在  
  $t_strUname = $_POST["f_uname"];  
  $t_strPwd = $_POST["f_pwd"];  
  $t_strSQL = "SELECT * FROM tbl_users WHERE username='$t_strUname' AND password = '$t_strPwd' LIMIT 0,1";  
      
  if ($t_hRes = mysql_query($t_strSQL)) {  
    // 成功查詢之後的處理. 略...  
  }  
}  
?>

<html><head><title>test</title></head>  
<body>  
<form method="post" action="">  
  Username: <input type="text" name="f_uname" size=30><br>  
  Password: <input type=text name="f_pwd" size=30><br>  
  <input type="submit" name="f_login" value="登錄">  
</form>  
</body>