PHP防SQL注入详细设计说明书Word格式.docx
《PHP防SQL注入详细设计说明书Word格式.docx》由会员分享,可在线阅读,更多相关《PHP防SQL注入详细设计说明书Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
2.功能设计
2.1脚本解析安全设置
ini文件中可以配置一些涉及安全性的设置,通过这些设置可以增加SQL的注入难度,降低SQL注入风险。
主要的从以下几个方面设置:
✧设置“magic_quotes_gpc”为“on”
✧设置“register_globals”为“off”
✧设置“safe_mode”为“on”
✧设置“open_basedir”为“on”
✧设置“display_errmors”为“off”
2.2正式地址禁用错误报告
屏蔽错误提示可以有效的保护数据库信息,增加SQL的注入难度,降低SQL注入风险。
在配置文件开头加代码:
error_reporting(0);
2.3使用参数化查询
PHP数据库连接类PDO(或其他数据库抽象类库)的prepare()方法构造参数化查询,可以有效的阻止Sql注入,这比自己编写Sql注入过滤函数库有效很多很多。
PDO使用举例:
?
php
$pdo
=
new
PDO("
mysql:
host=192.168.0.1;
dbname=test;
"
"
root"
);
$pdo->
setAttribute(PDO:
:
ATTR_EMULATE_PREPARES,
false);
//设置禁止php本地转义。
$sql="
select
*
from
info
where
id
=?
and
name
;
if($age)
{
$sql.="
andage=?
//构建动态Sql
}
$st
prepare();
$id
21;
$name
'
zhangsan'
$st->
bindParam(1,$id);
bindParam(2,$name);
$st->
bindParam(3,$age);
execute();
fetchAll();
>
2.4对请求提交的数据进行验证
SQL注入攻击实质上是构造畸形的SQL语句,通过WEB应用程序送达数据库系统执行的。
如果WEB应用程序对用户输入的参数进行过滤,使得参数构造的SQL语句不能送达数据库系统执行。
✧验证输入的数据是否符合规定的数据类型,长度是否合法,。
如金额必须是数字、公司编码必须是6位、日期类型的格式是否正确等。
对请求的数据进行验证是很有必要的,既保证了数据的完整性,又可以防止SQL注入。
✧在前端浏览器,限制表单内容的输入长度,比如公司编码的文本框最大长度为6,发车凭证最大为11,运单号的最大长度为13等。
2.5转化敏感字符
2.5.1要转化的敏感字符
单引号('
)、双引号("
)、反斜线(\)等
2.5.2
用PDO的quote()方法进行转化
require'
./config/config.php'
$injection="
if(!
get_magic_quotes_gpc())
$injection=$pdo->
quote($injection);
//只对未进行magic_quotes_gpc转义的变量转义。
避免进行双层转义
echo$injection;
输出:
\'
2.5.3用php的mysql_real_escape_string()方法进行转化
mysql_real_escape_string()转义SQL语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。
并不转义%、_、\x00、\n、\r。
$injection=mysql_real_escape_string($injection);
3.详细设计
对POST、GET、REQUERE的请求数据进行过滤
/**
*功能:
对用户请求提交的数据进行校验转义
*日期:
2014年5月20日
*@authorlujiang
*
*/
classsafe
private$tpobj;
/**
*析构函数
*
function__construct()
{
$this->
tpobj='
}
*@param$obj要处理的对象
*@return转义后字符
*@name数据转义函数
publicstaticfunctiontranParams($obj)
if(!
get_magic_quotes_gpc())
{
if(is_array($obj))
{
foreach($objas$key=>
$val)
{
$obj[$key]=self:
tranparams($val);
}
}
else
$obj=mysql_real_escape_string($obj);
}
return$obj;
*@name对post、get进行转义
*@
publicstaticfunctiontranRequest()
global$_POST;
global$_GET;
global$_REQUEST;
global$_SESSION;
$_POST=self:
tranParams($_POST);
$_GET=self:
tranParams($_GET);
$_REQUEST=self:
tranParams($_REQUEST);
$_SESSION=self:
tranParams($_SESSION);
4.防注入功能测试
4.1.1
前端登录页面
!
DOCTYPEhtmlPUBLIC"
-//W3C//DTDHTML4.01Transitional//EN"
"
http:
//www.w3.org/TR/html4/loose.dtd"
html>
head>
metahttp-equiv="
Content-Type"
content="
text/html;
charset=UTF-8"
title>
Inserttitlehere<
/title>
/head>
body>
divstyle="
width:
30%"
<
formaction="
test.php"
method="
post"
<
fieldset>
<
legend>
SQL注入演示<
/legend>
账号:
inputtype="
text"
id="
u"
name="
value="
1"
/>
br/>
密码:
p"
submit"
s"
提交"
/fieldset>
/form>
/div>
/body>
/html>
4.1.2
采用PDO连接数据库
$host='
127.0.0.1'
$user="
person"
$password="
$dbname="
test"
$port="
3306"
try{
$DSN="
host=$host;
dbname=$dbname"
$pdo=newPDO($DSN,$user,$password);
$pdo->
query('
setnamesUTF8'
ATTR_ERRMODE,PDO:
ERRMODE_EXCEPTION);
}catch(PDOException$e){
echo'
error:
'
.$e->
getMessage();
4.1.3
登录功能处理页面
php
include'
safe_class.php'
db.config.php'
header("
Content-Type:
text/html;
error_reporting
(1);
$user=$_POST['
u'
];
$pwd=$_POST['
p'
$sql="
SELECT*FROMusersWHEREu='
.$user."
ANDp='
.$pwd."
$userArr=$pdo->
query($sql)->
if($userArr)
登录成功!
}else
登录失败!
4.2注入测试
4.2.1通过注入实现登录
在用户名处录入:
or1=1--
点击提交,提示:
登录成功!
4.2.2通过注入判断订单表的名称
And(Selectcount(*)fromorder)<
0--
点击提交,程序报错,如下图
说明表名不是order。
点击提交,程序未报错,提示:
。
说明订单表的名称是:
orders。
4.3防止Sql注入
4.3.1在登录功能页面中加入请求转义功能
代码:
safe:
tranRequest();
4.3.2再次注入测试,检测对请求转义后的防Sql注入性能
登录失败。
防Sql注入成功。
0--
升级会员 