php網站如何防止sql注入?
網站的運行安全肯定是每個站長必須考慮的問題,大家知道,大多數黑客攻擊網站都是採用sql注入,這就是我們常說的爲什麼最原始的靜態的網站反而是最安全的。 今天我們講講PHP注入的安全規範,防止自己的網站被sql注入。
如今主流的網站開發語言還是php,那我們就從php網站如何防止sql注入開始說起:
Php注入的安全防範通過上面的過程,我們可以瞭解到php注入的原理和手法,當然我們也同樣可以制定出相應該的防範方法:
首先是對服務器的安全設置,這裏主要是php+mysql的安全設置和linux主機的安全設置。對php+mysql注射的防範,首先將magic_quotes_gpc設置爲On,display_errors設置爲Off,如果id型,我們利用intval()將其轉換成整數類型,如代碼:
$id=intval($id);
mysql_query=”select *from example where articieid=’$id’”;或者這樣寫:mysql_query(”SELECT * FROM article WHERE articleid=”.intval($id).”")
如果是字符型就用addslashes()過濾一下,然後再過濾”%”和”_”如:
$search=addslashes($search);
$search=str_replace(“_”,”\_”,$search);
$search=str_replace(“%”,”\%”,$search);
當然也可以加php通用防注入代碼:
/*************************
PHP通用防注入安全代碼
說明:
判斷傳遞的變量中是否含有非法字符
如$_POST、$_GET
功能:
防注入
**************************/
//要過濾的非法字符
$ArrFiltrate=array(”‘”,”;”,”union”);
//出錯後要跳轉的url,不填則默認前一頁
$StrGoUrl=”";
//是否存在數組中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
if (eregi($value,$StrFiltrate)){
return true;
}
}
return false;
}
//合併$_POST 和 $_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
}
//驗證開始
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){
echo “alert(/”Neeao提示,非法字符/”);”;
if (empty($StrGoUrl)){
echo “history.go(-1);”;
}else{
echo “window.location=/”".$StrGoUrl.”/”;”;
}
exit;
}
}
?>
/*************************
保存爲checkpostandget.php
然後在每個php文件前加include(“checkpostandget.php“);即可
**************************/
另外將管理員用戶名和密碼都採取md5加密,這樣就能有效地防止了php的注入。
還有服務器和mysql也要加強一些安全防範。
對於linux服務器的安全設置:
加密口令,使用“/usr/sbin/authconfig”工具打開密碼的shadow功能,對password進行加密。
禁止訪問重要文件,進入linux命令界面,在提示符下輸入:
#chmod 600 /etc/inetd.conf //改變文件屬性爲600
#chattr +I /etc/inetd.conf //保證文件屬主爲root
#chattr –I /etc/inetd.conf // 對該文件的改變做限制
禁止任何用戶通過su命令改變爲root用戶
在su配置文件即/etc/pam.d/目錄下的開頭添加下面兩行:
Auth sufficient /lib/security/pam_rootok.so debug
Auth required /lib/security/pam_whell.so group=wheel
刪除所有的特殊帳戶
#userdel lp等等 刪除用戶
#groupdel lp等等 刪除組
禁止不使用的suid/sgid程序
#find / -type f \(-perm -04000 - o –perm -02000 \) \-execls –lg {} \;
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
|
介紹兩種方法吧,首先請把以下代碼保存爲safe.php放在網站根目錄下,然後在每個php文件前加include(“/safe.php“);即可 : php防注入代碼方法一: <?php php防注入代碼方法二: /* 過濾所有GET過來變量 */ |
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
先來說說安全問題,我們首先看一下兩篇文章:
http://www.xfocus.net/articles/200107/227.html
http://www.xfocus.net/articles/200107/228.html
上面文章是安全焦點上的關於PHP安全的文章,基本上比較全面的介紹了關於PHP的一些安全問題。
在PHP編碼的時候,如果考慮到一些比較基本的安全問題,首先一點:
1. 初始化你的變量
爲什麼這麼說呢?我們看下面的代碼:
if ($admin)
{
echo '登陸成功!';
include('admin.php');
}
else
{
echo '你不是管理員,無法進行管理!';
}
好,我們看上面的代碼好像是能正常運行,沒有問題,那麼加入我提交一個非法的參數過去呢,那麼效果會如何呢?比如我們的這個頁是 http://www.traget.com/login.php,那麼我們提交:http://www.target.com/login.php?admin=1,呵呵,你想一些,我們是不是直接就是管理員了,直接進行管理。
當然,可能我們不會犯這麼簡單錯的錯誤,那麼一些很隱祕的錯誤也可能導致這個問題,比如最近暴出來的phpwind 1.3.6論壇有個漏洞,導致能夠直接拿到管理員權限,就是因爲有個$skin變量沒有初始化,導致了後面一系列問題。
那麼我們如何避免上面的問題呢?首先,從php.ini入手,把php.ini裏面的register_global = off,就是不是所有的註冊變量爲全局,那麼就能避免了。但是,我們不是服務器管理員,只能從代碼上改進了,那麼我們如何改進上面的代碼呢?我們改寫如下:
$admin = 0; // 初始化變量
if ($_POST['admin_user'] && $_POST['admin_pass'])
{
// 判斷提交的管理員用戶名和密碼是不是對的相應的處理代碼
// ...
$admin = 1;
}
else
{
$admin = 0;
}
if ($admin)
{
echo '登陸成功!';
include('admin.php');
}
else
{
echo '你不是管理員,無法進行管理!';
}
那麼這時候你再提交 http://www.target.com/login.php?admin=1 就不好使了,因爲我們在一開始就把變量初始化爲 $admin = 0 了,那麼你就無法通過這個漏洞獲取管理員權限。
2. 防止SQL Injection (sql注射)
SQL 注射應該是目前程序危害最大的了,包括最早從asp到php,基本上都是國內這兩年流行的技術,基本原理就是通過對提交變量的不過濾形成注入點然後使惡意用戶能夠提交一些sql查詢語句,導致重要數據被竊取、數據丟失或者損壞,或者被入侵到後臺管理。
基本原理我就不說了,我們看看下面兩篇文章就很明白了:
http://www.4ngel.net/article/36.htm
http://www.4ngel.net/article/30.htm
那麼我們既然瞭解了基本的注射入侵的方式,那麼我們如何去防範呢?這個就應該我們從代碼去入手了。
我們知道Web上提交數據有兩種方式,一種是get、一種是post,那麼很多常見的sql注射就是從get方式入手的,而且注射的語句裏面一定是包含一些sql語句的,因爲沒有sql語句,那麼如何進行,sql語句有四大句:
select 、update、delete、insert,那麼我們如果在我們提交的數據中進行過濾是不是能夠避免這些問題呢?
於是我們使用正則就構建如下函數:
/*
函數名稱:inject_check()
函數作用:檢測提交的值是不是含有SQL注射的字符,防止注射,保護服務器安全
參 數:$sql_str: 提交的變量
返 回 值:返回檢測結果,ture or false
函數作者:heiyeluren
*/
function inject_check($sql_str)
{
return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // 進行過濾
}
我們函數裏把 select,insert,update,delete, union, into, load_file, outfile /*, ./ , ../ , ' 等等危險的參數字符串全部過濾掉,那麼就能夠控制提交的參數了,程序可以這麼構建:
<?php
if (inject_check($_GET['id']))
{
exit('你提交的數據非法,請檢查後重新提交!');
}
else
{
$id = $_GET['id'];
echo '提交的數據合法,請繼續!';
}
?>
假設我們提交URL爲:http://www.target.com/a.php?id=1,那麼就會提示:
"提交的數據合法,請繼續!"
如果我們提交 http://www.target.com/a.php?id=1%27 select * from tb_name
就會出現提示:"你提交的數據非法,請檢查後重新提交!"
那麼就達到了我們的要求。
但是,問題還沒有解決,假如我們提交的是 http://www.target.com/a.php?id=1asdfasdfasdf 呢,我們這個是符合上面的規則的,但是呢,它是不符合要求的,於是我們爲了可能其他的情況,我們再構建一個函數來進行檢查:
/*
函數名稱:verify_id()
函數作用:校驗提交的ID類值是否合法
參 數:$id: 提交的ID值
返 回 值:返回處理後的ID
函數作者:heiyeluren
*/
function verify_id($id=null)
{
if (!$id) { exit('沒有提交參數!'); } // 是否爲空判斷
elseif (inject_check($id)) { exit('提交的參數非法!'); } // 注射判斷
elseif (!is_numeric($id)) { exit('提交的參數非法!'); } // 數字判斷
$id = intval($id); // 整型化
return $id;
}
呵呵,那麼我們就能夠進行校驗了,於是我們上面的程序代碼就變成了下面的:
<?php
if (inject_check($_GET['id']))
{
exit('你提交的數據非法,請檢查後重新提交!');
}
else
{
$id = verify_id($_GET['id']); // 這裏引用了我們的過濾函數,對$id進行過濾
echo '提交的數據合法,請繼續!';
}
?>
好,問題到這裏似乎都解決了,但是我們有沒有考慮過post提交的數據,大批量的數據呢?
比如一些字符可能會對數據庫造成危害,比如 ' _ ', ' % ',這些字符都有特殊意義,那麼我們如果進行控制呢?還有一點,就是當我們的php.ini裏面的magic_quotes_gpc = off 的時候,那麼提交的不符合數據庫規則的數據都是不會自動在前面加' '的,那麼我們要控制這些問題,於是構建如下函數:
/*
函數名稱:str_check()
函數作用:對提交的字符串進行過濾
參 數:$var: 要處理的字符串
返 回 值:返回過濾後的字符串
函數作者:heiyeluren
*/
function str_check( $str )
{
if (!get_magic_quotes_gpc()) // 判斷magic_quotes_gpc是否打開
{
$str = addslashes($str); // 進行過濾
}
$str = str_replace("_", "\_", $str); // 把 '_'過濾掉
$str = str_replace("%", "\%", $str); // 把' % '過濾掉
return $str;
}
OK,我們又一次的避免了服務器被淪陷的危險。
最後,再考慮提交一些大批量數據的情況,比如發貼,或者寫文章、新聞,我們需要一些函數來幫我們過濾和進行轉換,再上面函數的基礎上,我們構建如下函數:
/*
函數名稱:post_check()
函數作用:對提交的編輯內容進行處理
參 數:$post: 要提交的內容
返 回 值:$post: 返回過濾後的內容
函數作者:heiyeluren
*/
function post_check($post)
{
if (!get_magic_quotes_gpc()) // 判斷magic_quotes_gpc是否爲打開
{
$post = addslashes($post); // 進行magic_quotes_gpc沒有打開的情況對提交數據的過濾
}
$post = str_replace("_", "\_", $post); // 把 '_'過濾掉
$post = str_replace("%", "\%", $post); // 把' % '過濾掉
$post = nl2br($post); // 回車轉換
$post= htmlspecialchars($post); // html標記轉換
return $post;
}
呵呵,基本到這裏,我們把一些情況都說了一遍,其實我覺得自己講的東西還很少,至少我才只講了兩方面,再整個安全中是很少的內容了,考慮下一次講更多,包括php安全配置,apache安全等等,讓我們的安全正的是一個整體,作到最安全。
最後在告訴你上面表達的:1. 初始化你的變量 2. 一定記得要過濾你的變量
+++++++++++++++++++++++++++++++++++++++++++++
對POST或GET數據過濾
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=>$value) {$content[$key] = addslashes($value);}} else {addslashes($content);}}return $content;}
/* 函數名稱:inject_check() 函數作用:檢測提交的值是不是含有SQL注射的字符,防止注射,保護服務器安全 參 數:$sql_str: 提交的變量 返 回 值:返回檢測結果,ture or false */ function inject_check($sql_str) { return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 進行過濾 } /* 函數名稱:verify_id() 函數作用:校驗提交的ID類值是否合法 參 數:$id: 提交的ID值 返 回 值:返回處理後的ID */ function verify_id($id=null) { if (!$id) { exit('沒有提交參數!'); } // 是否爲空判斷 elseif (inject_check($id)) { exit('提交的參數非法!'); } // 注射判斷 elseif (!is_numeric($id)) { exit('提交的參數非法!'); } // 數字判斷 $id = intval($id); // 整型化 return $id; } /* 函數名稱:str_check() 函數作用:對提交的字符串進行過濾 參 數:$var: 要處理的字符串 返 回 值:返回過濾後的字符串 */ function str_check( $str ) { if (!get_magic_quotes_gpc()) { // 判斷magic_quotes_gpc是否打開 $str = addslashes($str); // 進行過濾 } $str = str_replace("_", "\_", $str); // 把 '_'過濾掉 $str = str_replace("%", "\%", $str); // 把 '%'過濾掉 return $str; } /* 函數名稱:post_check() 函數作用:對提交的編輯內容進行處理 參 數:$post: 要提交的內容 返 回 值:$post: 返回過濾後的內容 */ function post_check($post) { if (!get_magic_quotes_gpc()) { // 判斷magic_quotes_gpc是否爲打開 $post = addslashes($post); // 進行magic_quotes_gpc沒有打開的情況對提交數據的過濾 } $post = str_replace("_", "\_", $post); // 把 '_'過濾掉 $post = str_replace("%", "\%", $post); // 把 '%'過濾掉 $post = nl2br($post); // 回車轉換 $post = htmlspecialchars($post); // html標記轉換 return $post; }
