現在,談SQL注入漏洞是否已經是明日黃花,國內大大小小的網站都已經補上漏洞。但,百密必有一疏,入侵是偶然的,但安全絕對不是必然的。
前些天,網上傳得沸沸揚揚的「拖庫」事件給咱們敲響了安全警鐘。
在開發網站的時候,出於安全考慮,須要過濾從頁面傳遞過來的字符。一般,用戶能夠經過如下接口調用數據庫的內容:URL地址欄、登錄界面、留言板、搜索框等。這每每給駭客留下了可乘之機。輕則數據遭到泄露,重則服務器被拿下。
如今,不少網站開發人員知其然而不知其因此然,小弟也是,因此趕忙惡補下,總結如學習內容。但願對初學者可以起到拋磚引玉的做用。
1、SQL注入的步驟
a) 尋找注入點(如:登陸界面、留言板等)
b) 用戶本身構造SQL語句(如:' or 1=1#,後面會講解)
c) 將sql語句發送給數據庫管理系統(DBMS)
d) DBMS接收請求,並將該請求解釋成機器代碼指令,執行必要的存取操做
e) DBMS接受返回的結果,並處理,返回給用戶
由於用戶構造了特殊的SQL語句,一定返回特殊的結果(只要你的SQL語句夠靈活的話)。
下面,我經過一個實例具體來演示下SQL注入
2、SQL注入實例詳解(以上測試均假設服務器未開啓magic_quote_gpc)
1) 前期準備工做
先來演示經過SQL注入漏洞,登入後臺管理員界面
首先,建立一張試驗用的數據表:
CREATE TABLE `users` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`email` varchar(64) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `username` (`username`)
) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;
添加一條記錄用於測試:
INSERT INTO users (username,password,email)
VALUES('MarcoFly',md5('test'),'marcofly@test.com');
接下來,貼上登陸界面的源代碼:
<html>
<head>
<title>Sql注入演示</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</head>
<body >
<form action="validate.php" method="post">
<fieldset >
<legend>Sql注入演示</legend>
<table>
<tr>
<td>用戶名:</td><td><input type="text" name="username"></td>
</tr>
<tr>
<td>密 碼:</td><td><input type="text" name="password"></td>
</tr>
<tr>
<td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td>
</tr>
</table>
</fieldset>
</form>
</body>
</html>
附上效果圖:
代碼以下:
<html>
<head>
<title>登陸驗證</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</head>
<body>
<?php
$conn=@mysql_connect("localhost",'root','') or die("數據庫鏈接失敗!");;
mysql_select_db("injection",$conn) or die("您要選擇的數據庫不存在");
$name=$_POST['username'];
$pwd=$_POST['password'];
$sql="select * from users where username='$name' and password='$pwd'";
$query=mysql_query($sql);
$arr=mysql_fetch_array($query);
if(is_array($arr)){
header("Location:manager.php");
}else{
echo "您的用戶名或密碼輸入有誤,<a href=\"Login.php\">請從新登陸!</a>";
}
?>
</body>
</html>
注意到了沒有,咱們直接將用戶提交過來的數據(用戶名和密碼)直接拿去執行,並無實現進行特殊字符過濾,待會大家將明白,這是致命的。
代碼分析:若是,用戶名和密碼都匹配成功的話,將跳轉到管理員操做界面(manager.php),不成功,則給出友好提示信息。
登陸成功的界面:
登陸失敗的提示:html
到這裏,前期工做已經作好了,接下來將展開咱們的重頭戲:SQL注入
2) 構造SQL語句
填好正確的用戶名(marcofly)和密碼(test)後,點擊提交,將會返回給咱們「歡迎管理員」的界面。
由於根據咱們提交的用戶名和密碼被合成到SQL查詢語句當中以後是這樣的:
select * from users where username='marcofly' and password=md5('test')
很明顯,用戶名和密碼都和咱們以前給出的同樣,確定可以成功登錄。可是,若是咱們輸入一個錯誤的用戶名或密碼呢?很明顯,確定登入不了吧。恩,正常狀況下是如此,可是對於有SQL注入漏洞的網站來講,只要構造個特殊的「字符串」,照樣可以成功登陸。
好比:在用戶名輸入框中輸入:' or 1=1#,密碼隨便輸入,這時候的合成後的SQL查詢語句爲:
select * from users where username='' or 1=1#' and password=md5('')
語義分析:「#」在mysql中是註釋符,這樣井號後面的內容將被mysql視爲註釋內容,這樣就不會去執行了,換句話說,如下的兩句sql語句等價: mysql
select * from users where username='' or 1=1#' and password=md5('')
等價於
select * from users where username='' or 1=1
由於1=1永遠是都是成立的,即where子句老是爲真,將該sql進一步簡化以後,等價於以下select語句:
select * from users
沒錯,該sql語句的做用是檢索users表中的全部字段
小技巧:若是不知道' or 1=1#中的單引號的做用,能夠本身echo 下sql語句,就一目瞭然了。
看到了吧,一個經構造後的sql語句竟有如此可怕的破壞力,相信你看到這後,開始對sql注入有了一個理性的認識了吧~
沒錯,SQL注入就是這麼容易。可是,要根據實際狀況構造靈活的sql語句卻不是那麼容易的。有了基礎以後,本身再去慢慢摸索吧。
有沒有想過,若是經由後臺登陸窗口提交的數據都被管理員過濾掉特殊字符以後呢?這樣的話,咱們的萬能用戶名' or 1=1#就沒法使用了。但這並非說咱們就毫無對策,要知道用戶和數據庫打交道的途徑不止這一條。
更多關於SQL注入的信息請看個人另外一篇博文: 利用SQL注入漏洞拖庫 原創文章:WEB開發_小飛 轉載請註明:http://www.cnblogs.com/hongfei/archive/2012/01/12/sql-injection-tuoku.html