SQL-инъекция, которая обходит mysql_real_escape_string ()

Question

SQL-инъекция, которая обходит mysql_real_escape_string ()

556

Есть ли возможность впрыска SQL даже при использовании функции mysql_real_escape_string()?

Рассмотрим эту ситуацию с образцом. SQL построен в PHP следующим образом:

$login = mysql_real_escape_string(GetFromPost('login'));
$password = mysql_real_escape_string(GetFromPost('password'));

$sql = "SELECT * FROM table WHERE login='$login' AND password='$password'";

Я слышал, что многие люди говорят мне, что такой код по-прежнему опасен и может быть взломан даже при использовании функции mysql_real_escape_string(). Но я не могу придумать никакого возможного эксплойта?

Классические инъекции:

aaa' OR 1=1 --

не работают.

Знаете ли вы о любой возможной инъекции, которая будет проходить через код PHP выше?

Richard Knop 21 апр. 2011, в 08:51

Источник

0

Обычно лучше выполнить проверку пароля в коде PHP, чтобы вы могли отобразить более подробную ошибку (неверный пользователь / неверный пароль)
ThiefMaster 21 апр. 2011, в 08:05
1

@ThiefMaster Я знаю, что это просто простой пример, чтобы донести свою мысль.
Richard Knop 21 апр. 2011, в 08:25
0

Всегда используйте готовые заявления. Обеспечение безопасности, преимущества производительности при повторном использовании операторов, стандартизированное кодирование и поддержка библиотек всегда (на мой взгляд) превосходят любые другие альтернативные «короткие» методы.
MatBailie 21 апр. 2011, в 08:29
27

@ThiefMaster - я предпочитаю не давать подробных ошибок, таких как неверный пользователь / неверный пароль ... он говорит торговцам грубой силы, что у них есть действительный идентификатор пользователя, и это просто пароль, который им нужно угадать
Mark Baker 21 апр. 2011, в 08:37
13

Это ужасно с точки зрения удобства использования. Иногда вы не могли использовать свой основной ник / имя пользователя / адрес электронной почты и забыть об этом через некоторое время, или сайт удалил вашу учетную запись из-за неактивности. Тогда это очень раздражает, если вы продолжаете пробовать пароли и, возможно, даже блокируете свой IP-адрес, даже если ваше имя пользователя недействительно.
ThiefMaster 21 апр. 2011, в 08:47
43

Пожалуйста, не используйте функции mysql_* в новом коде . Они больше не поддерживаются, и процесс амортизации уже начался. Видишь красную коробку ? Вместо этого узнайте о готовых утверждениях и используйте PDO или MySQLi - эта статья поможет вам решить, какие именно. Если вы выбираете PDO, вот хороший урок .
tereško 03 дек. 2012, в 20:47
6

@ tereško: Они не будут удалять функцию mysql_ * из php, по крайней мере, не очень скоро. Возможно, в 2050 году. Подумайте об этом, если они удалят его, все серверы, которые выполняют автоматическое обновление php, будут иметь все веб-сайты нефункциональными. Это просто абсурдно.
machineaddict 05 июль 2013, в 09:36
11

@machineaddict, начиная с версии 5.5 (которая была недавно выпущена), функции mysql_* уже выдают предупреждение E_DEPRECATED . Расширение ext/mysql не поддерживается более 10 лет. Вы действительно так бредите?
tereško 05 июль 2013, в 09:44
1

Поскольку большинство производственных веб-сайтов не печатают ошибки, E_DEPRECATED бесполезен. Пока все веб-сайты не переключатся с функций mysql, они не будут удалены. Даже там, где я работаю, мне приходится работать с расширением mysql, потому что даже они не думают, что оно будет удалено очень скоро. Возможно в php 6.0. Увидим...
machineaddict 05 июль 2013, в 10:42
1

@machineaddict Это будет удалено в конце концов. Серверы не выполняют автоматические обновления, как вы утверждали. Большинство серверов работают под управлением LTS-версий Linux, поэтому они все еще используют относительно старые версии PHP (многие серверы все еще работают на PHP 5.1 или 5.2). Если они удалят его в следующем основном выпуске PHP, будет достаточно времени, чтобы прекратить использовать функции mysql_ * (и серьезно никто не использовал его в течение многих лет, это только в устаревшем коде), поскольку это займет время (вероятно, несколько лет) пока новая версия не будет добавлена в версии LTS.
Richard Knop 05 июль 2013, в 15:20
0

Существует только один надежный способ защитить вас от внедрения SQL. Просто проверьте, что переменная содержит то, что вы ожидаете. Если вы ожидаете целое число, используйте ctype_digit ... В большинстве случаев вы должны окружить его "" или ". и бежать в кавычках переменных соответствия ...
Loenix 26 апр. 2014, в 08:18
0

Символ [пробел] после двух черточек (-) в последнем может сделать запрос действительным. ааа 'ИЛИ 1 = 1 - [SPACE_HERE]
Bimal Poudel 27 июль 2014, в 08:18
1

@Loenix: С целыми числами может быть даже лучший способ: вместо проверки просто превратить его в то, что вы ожидаете. $value = (int) $value; или $value = intval($value); , Он обрабатывает такие вещи, как отрицательные знаки, а ctype_digit - нет.
cHao 27 авг. 2014, в 22:41
0

@cHao Я не могу с тобой согласиться. Лучший способ - всегда проверять значения, потому что это не означает, что ожидаются все целые числа, мы не хотим вставлять значения, которые пользователь тоже не хочет. Если вы вставляете данные, вы должны: проверить ожидаемый контент и отформатировать значение, чтобы оно было стандартизированным или работоспособным. Здесь, если вы проверите его и получите неверно отформатированное имя пользователя, вы можете вернуть «Эй, ваше значение недействительно, пожалуйста, исправьте его».
Loenix 29 авг. 2014, в 06:54
4

@Loenix: Если вы фильтруете по деловым причинам (например, убедитесь, что номер телефона похож на номер телефона), это одно. Но фильтрация по техническим причинам ошибочна. SQL-инъекция не вызвана плохими данными; это вызвано плохим кодом . Можно иметь имя <script>alert("①'ᆖ@\'½¶ഝ") , если они действительно хотят его напечатать. Если оно сломает ваше приложение, значит ваше приложение уже сломано . В лучшем случае отказ от такого имени по техническим причинам является бинтом; в худшем случае это ложная безопасность.
cHao 29 авг. 2014, в 08:37
1

mysqli_real_escape_string ()
Dillon Burnett 01 янв. 2017, в 21:30
10

@machineaddict Они только что удалили это расширение в PHP 7.0, но это еще не 2050 год.
GGG 15 март 2017, в 11:01

Показать ещё 15 комментариев

Теги:

php

mysql

sql

security

sql-injection

6 ответов

530

Короткий ответ да, да есть способ обойти mysql_real_escape_string().

Для очень ОБЫЧНЫХ КЛУБОВ!!!

Длинный ответ не так прост. Он основан на атаке показанной здесь.

Атака

Итак, пусть начнется, показывая атаку...

mysql_query('SET NAMES gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

В определенных обстоятельствах это вернет более 1 строки. Давайте рассмотрим, что здесь происходит:

Выбор набора символов
```
mysql_query('SET NAMES gbk');
```
Для того, чтобы эта атака работала, нам нужна кодировка, которую сервер ожидает от соединения как для кодирования ', так и в ASCII, т.е. 0x27, и иметь некоторый символ, конечный байт которого является ASCII \ т.е. 0x5c. Как оказалось, в MySQL 5.6 по умолчанию поддерживается 5 таких кодировок: big5, cp932, gb2312, gbk и sjis. Мы выберем gbk здесь.

Теперь очень важно отметить использование SET NAMES здесь. Это устанавливает набор символов НА СЕРВЕРЕ. Если бы мы использовали вызов функции C API mysql_set_charset(), мы были бы в порядке (в версиях MySQL с 2006 года). Но больше о том, почему через минуту...
Полезная нагрузка

Полезная нагрузка, которую мы будем использовать для этой инъекции, начинается с последовательности байтов 0xbf27. В gbk - недопустимый многобайтовый символ; в latin1, это строка ¿'. Обратите внимание, что в latin1 и gbk, 0x27 сам по себе является символом '.

Мы выбрали эту полезную нагрузку, потому что, если мы назовем ее addslashes(), мы должны добавить ASCII \ i.e. 0x5c перед символом '. Итак, мы закончили с 0xbf5c27, который в gbk представляет собой последовательность из двух символов: 0xbf5c, за которой следует 0x27. Или, другими словами, действительный символ, за которым следует неизолированный '. Но мы не используем addslashes(). Итак, на следующий шаг...
mysql_real_escape_string()

Запрос API C на mysql_real_escape_string() отличается от addslashes() тем, что он знает набор символов соединения. Таким образом, он может правильно выполнить экранирование набора символов, ожидаемого сервером. Однако до этого момента клиент думает, что мы все еще используем latin1 для соединения, потому что мы никогда не говорили об этом иначе. Мы сказали сервер, на котором мы используем gbk, но клиент все еще считает его latin1.

Поэтому вызов mysql_real_escape_string() вставляет обратную косую черту, и у нас есть свободный висячий символ ' в нашем "экранированном" контенте! Фактически, если бы мы посмотрели на $var в наборе символов gbk, мы увидели бы:
```
縗' OR 1=1 /*
```
Что означает то, что требует атака.
Запрос

Эта часть является просто формальностью, но здесь представленный запрос:
```
SELECT * FROM test WHERE name = '縗' OR 1=1 /*' LIMIT 1
```

Поздравляем, вы просто успешно атаковали программу, используя mysql_real_escape_string()...

Плохой

Ухудшается. PDO defaults для эмуляции подготовленных операторов с MySQL. Это означает, что на стороне клиента он в основном выполняет sprintf через mysql_real_escape_string() (в библиотеке C), что означает, что следующее приведет к успешной инъекции:

$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

Теперь стоит отметить, что вы можете предотвратить это, отключив эмулированные подготовленные заявления:

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

Это обычно приводит к истинному подготовленному оператору (т.е. данные передаются в отдельном пакете из запроса). Однако имейте в виду, что PDO будет молча backback для эмуляции утверждений, которые MySQL не может подготовить изначально: те, которые могут быть в руководстве, но будьте осторожны, чтобы выбрать соответствующую версию сервера).

Уродливый

Я сказал в самом начале, что мы могли бы предотвратить все это, если бы мы использовали mysql_set_charset('gbk') вместо SET NAMES gbk. И это правда, если вы используете выпуск MySQL с 2006 года.

Если вы используете более раннюю версию MySQL, то bug в mysql_real_escape_string() означает, что недопустимые многобайтовые символы, например, в наша полезная нагрузка была обработана как одиночные байты для экранирования, даже если клиент был правильно проинформирован о кодировке соединения, и поэтому эта атака все равно будет успешной. Ошибка была исправлена в MySQL 4.1.20, 5.0.22 и 5.1.11.

Но худшая часть заключается в том, что PDO не показывал C API для mysql_set_charset() до 5.3.6, поэтому в предыдущих версиях он не могпредотвратите эту атаку для каждой возможной команды! Теперь он отображается как параметр utf8mb4 не является уязвимым и все же может поддерживать каждый символ Юникода: так что вы можете выбрать использовать это вместо — но он доступен только после того, как MySQL 5.5.3. Альтернативой является utf8, который также не уязвим и может поддерживать весь Unicode Основная многоязычная плоскость.

В качестве альтернативы вы можете включить режим NO_BACKSLASH_ESCAPES SQL, который (среди прочего) изменяет работу mysql_real_escape_string(). Если этот режим включен, 0x27 будет заменен на 0x2727, а не 0x5c27, и поэтому процесс экранирования не сможет создать допустимые символы в любом из уязвимых кодировок, где они не существовали ранее (т.е. 0xbf27 по-прежнему 0xbf27 и т.д.) — поэтому сервер все равно будет отклонять строку как недопустимую. Однако см. @eggyal answer для другой уязвимости, которая может возникнуть в результате использования этого режима SQL.

Безопасные примеры

Следующие примеры безопасны:

mysql_query('SET NAMES utf8');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

Поскольку сервер ожидает utf8...

mysql_set_charset('gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

Поскольку мы правильно настроили набор символов, чтобы клиент и сервер соответствовали.

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

Потому что мы отключили эмулированные подготовленные заявления.

$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

Потому что мы правильно установили набор символов.

$mysqli->query('SET NAMES gbk');
$stmt = $mysqli->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$param = "\xbf\x27 OR 1=1 /*";
$stmt->bind_param('s', $param);
$stmt->execute();

Поскольку MySQLi все время работает с истинными подготовленными операторами.

Обертка

Если вы:

Использовать современные версии MySQL (конец 5.1, все 5.5, 5.6 и т.д.) И mysql_set_charset()/$mysqli->set_charset()/PDO DSN параметр charset (в PHP & ge; 5.3.6)

ИЛИ

Не используйте уязвимый набор символов для кодирования соединения (вы используете только utf8/latin1/ascii/etc)

Вы на 100% безопасны.

В противном случае вы уязвимы , хотя используете mysql_real_escape_string()...

ircmaxell 25 авг. 2012, в 03:11

2

PDO, эмулирующий подготовку операторов для MySQL, правда? Я не вижу никакой причины, по которой это будет сделано, поскольку драйвер поддерживает его изначально. Нет?
netcoder 25 авг. 2012, в 15:16
14

Оно делает. Они говорят, что в документации это не так. Но в исходном коде это ясно видно и легко исправить. Я списываю это на счет некомпетентности разработчиков.
Theodore R. Smith 25 авг. 2012, в 16:01
4

@ TheodoreR.Smith: Это не так легко исправить. Я работал над изменением настроек по умолчанию, но при переключении он не справляется с нагрузкой на лодке. Так что это большее изменение, чем кажется. Я все еще надеюсь закончить это к 5,5 ...
ircmaxell 25 авг. 2012, в 16:11
0

@ircmaxell Есть несколько вещей: как указано в статье, на которую вы ссылаетесь, эту уязвимость можно использовать только при использовании addslashes() а не mysql_real_escape_string() - это должно быть безопасно, как написано в статье (прочитайте еще раз). Во-вторых, мне очень любопытно, как можно использовать PUT, GET или POST char(0xBF) а затем char(0x27) ... Хотя это можно продемонстрировать с помощью написанного нами PHP, я сомневаюсь, что можно публиковать такие значения из формы или URL-адреса .. ,
shadyyx 20 нояб. 2012, в 15:52
12

@shadyyx: Нет, уязвимость в статье описана была около addslashes . Я основал эту уязвимость на этом. Попробуй сам. Получите MySQL 5.0, запустите этот эксплойт и убедитесь сами. Что касается того, как поместить это в PUT / GET / POST, это TRIVIAL. Входные данные - это просто байтовые потоки. char(0xBF) - это просто читаемый способ генерирования байта. Я продемонстрировал эту уязвимость в прямом эфире перед несколькими конференциями. Поверь мне в этом ... Но если нет, попробуй сам. Оно работает...
ircmaxell 20 нояб. 2012, в 16:32
5

@shadyyx: Что касается передачи такой забавы в $ _GET ... ?var=%BF%27+OR+1=1+%2F%2A в URL, $var = $_GET['var']; в коде, и Боб твой дядя.
cHao 27 дек. 2012, в 06:15
0

+1 за порку php разработчиков
Prof. Falken 03 сен. 2013, в 09:36
1

@MarkAmery: Подумав, я думаю, ты прав. Если я хочу отправить 0xbf27 т. 0xbf27 ¿' 0xbf27 соединение latin1 то, конечно, клиент все равно должен экранировать его как ¿\' т. 0xbf5c27 . Тем не менее, если сервер декодирует полученные байты с использованием GBK (т. Е. Клиент ошибся в кодировке соединения), он обнаружит, что существует неэкранированный ' и не может знать, что это не было предназначенным разработчиком SQL. Я обновил этот ответ с тем, что, как мне кажется, было задумано: до исправления ошибки даже правильная настройка кодировки клиента не помогла бы!
eggyal 26 апр. 2014, в 07:25
1

@eggyal Теперь я правильно понимаю проблему (и воспроизвел ее просто для удовольствия). Спасибо за вашу замечательную работу здесь. Дополнительные вещи, на которые стоит обратить внимание: 1. та же атака может быть продемонстрирована на mysqli_real_escape_string (как и следовало ожидать); Ваше краткое замечание о MySQLi здесь может быть истолковано кем-то глупым как означающее, что MySQLi защищен от этой атаки, но это верно только в том случае, если вы используете параметризованные запросы. 2. php.net/manual/en/mysqlinfo.concepts.charset.php намекает на существование этой атаки и описывает надлежащие способы установки кодировки соединения для каждого API.
Mark Amery 27 апр. 2014, в 13:06
2

У меня есть ощущение, что некоторые акценты должны быть удалены, и добавил хладнокровный TL; DR, сказав, что, пока кодирование установлено правильно и используются одинарные кавычки, не будет ни одной проблемы.
Your Common Sense 18 июнь 2014, в 09:35
2

@ user1986811 нет, наоборот. Этот запрос является источником уязвимости ... Никогда не используйте set names . Вместо этого всегда вызывайте правильный метод API (для mysql_ *: mysql_set_charset() ) ...
ircmaxell 18 авг. 2014, в 14:16
0

Хорошо, тогда я был в замешательстве ... я удалю свой глупый комментарий, большое спасибо. один момент ... почему это было в разделе " Безопасные примеры"
Top Questions 18 авг. 2014, в 14:25
0

Чарсет все еще проблема? Поскольку в теге php-5.6.1 в описании mysql_real_escape_strings указано, что mysql_real_escape_strings Escape special characters in a string for use in a SQL statement, taking into account the current charset of the connection поэтому я полагаю, что это зависит от того, как «текущая кодировка соединение "определяется.
Aif 12 окт. 2016, в 10:00

Показать ещё 11 комментариев

137

TL; DR

mysql_real_escape_string() будет не обеспечивать никакой защиты (и, кроме того, может выполнить ваши данные), если:

MySQL NO_BACKSLASH_ESCAPES Режим SQL включен (возможно, если вы явно не выбираете другой режим SQL при каждом подключении ); и

ваши строковые литералы SQL цитируются с использованием символов двойной кавычки ".
Это было зарегистрировано как ошибка # 72458 и исправлено в MySQL v5.7.6 (см. раздел " Сохранение благодати" ниже).

Это другой (возможно, менее?) непонятный КРАЙНЫЙ СЛУЧАЙ!!!

В знак уважения @ircmaxell отличный ответ (на самом деле, это должно быть лестью, а не плагиатом!), я приму его формат:

Атака

Запуск с демонстрацией...

mysql_query('SET SQL_MODE="NO_BACKSLASH_ESCAPES"'); // could already be set
$var = mysql_real_escape_string('" OR 1=1 -- ');
mysql_query('SELECT * FROM test WHERE name = "'.$var.'" LIMIT 1');

Это приведет к возврату всех записей из таблицы test. Рассечение:

Выбор режима SQL
```
mysql_query('SET SQL_MODE="NO_BACKSLASH_ESCAPES"');
```
Как описано в Строковые литералы:
Существует несколько способов включить символы кавычек в строку:
- A "'" внутри строки, указанной в "'", может быть записана как "''".
- A """ внутри строки, указанной в """, может быть записана как """".
- Представьте символ кавычки символом-побегом ( "\" ).
- A "'" внутри строки, указанной в """, не нуждается в особом обращении и не нуждается в удвоении или исключении. Точно так же """ внутри строки, указанной в "'", не нуждается в особой обработке.
Если режим SQL сервера включает NO_BACKSLASH_ESCAPES, то третий из этих параметров - это обычный подход, принятый mysql_real_escape_string() — не доступно: вместо этого следует использовать один из первых двух вариантов. Обратите внимание, что эффект четвертой пули заключается в том, что нужно обязательно знать символ, который будет использоваться для цитирования литерала, чтобы избежать перебора данных.
Полезная нагрузка
```
" OR 1=1 -- 
```
Полезная нагрузка инициирует эту инъекцию буквально с символом ". Нет специальной кодировки. Никаких специальных символов. Нет странных байтов.
mysql_real_escape_string()
```
$var = mysql_real_escape_string('" OR 1=1 -- ');
```
К счастью, mysql_real_escape_string() проверяет режим SQL и соответственно корректирует его поведение. См. libmysql.c:
```
ulong STDCALL
mysql_real_escape_string(MYSQL *mysql, char *to,const char *from,
             ulong length)
{
  if (mysql->server_status & SERVER_STATUS_NO_BACKSLASH_ESCAPES)
    return escape_quotes_for_mysql(mysql->charset, to, 0, from, length);
  return escape_string_for_mysql(mysql->charset, to, 0, from, length);
}
```
Таким образом, используется другая базовая функция escape_quotes_for_mysql(), если используется режим NO_BACKSLASH_ESCAPES SQL. Как упоминалось выше, такая функция должна знать, какой символ будет использоваться для цитирования литерала, чтобы повторить его, не вызывая повторного повторения другого символа цитаты.

Однако эта функция произвольно предполагает, что строка будет цитироваться с использованием символа с одной кавычкой '. См. charset.c:
```
/*
  Escape apostrophes by doubling them up

// [ deletia 839-845 ]

  DESCRIPTION
    This escapes the contents of a string by doubling up any apostrophes that
    it contains. This is used when the NO_BACKSLASH_ESCAPES SQL_MODE is in
    effect on the server.

// [ deletia 852-858 ]
*/

size_t escape_quotes_for_mysql(CHARSET_INFO *charset_info,
                               char *to, size_t to_length,
                               const char *from, size_t length)
{
// [ deletia 865-892 ]

    if (*from == '\'')
    {
      if (to + 2 > to_end)
      {
        overflow= TRUE;
        break;
      }
      *to++= '\'';
      *to++= '\'';
    }
```
Таким образом, он оставляет символы с двойной кавычкой " нетронутыми (и удваивает все символы одной кавычки ') независимо от фактического символа, который используется для цитирования литерала! В нашем случае $var остается точно таким же, как аргумент, который был предоставлен mysql_real_escape_string() &mdash, как будто никакого экранирования не произошло вообще.

Запрос

mysql_query('SELECT * FROM test WHERE name = "'.$var.'" LIMIT 1');

Что-то формальность, визуализированный запрос:

SELECT * FROM test WHERE name = "" OR 1=1 -- " LIMIT 1

Как сказал мой ученый друг: поздравления, вы просто успешно атаковали программу, используя mysql_real_escape_string()...

Плохой

mysql_set_charset() не может помочь, поскольку это не имеет ничего общего с наборами символов; а также mysqli::real_escape_string(), так как это просто другая оболочка вокруг этой же функции.

Проблема, если она еще не очевидна, заключается в том, что вызов mysql_real_escape_string() не может знать, с каким символом будет процитирован литерал, как это осталось разработчику для принятия решения позднее. Таким образом, в режиме NO_BACKSLASH_ESCAPES буквально нет способа, чтобы эта функция могла безопасно избегать каждого входа для использования с произвольным цитированием (по крайней мере, не без удвоения символов, которые не требуют удвоения и, таким образом, перебора ваших данных).

Уродливый

Ухудшается. NO_BACKSLASH_ESCAPES может быть не столь необычным в дикой природе из-за необходимости его использования для совместимости со стандартным SQL (например, см. раздел 5.3 спецификации SQL-92, а именно грамматическое производство <quote symbol> ::= <quote><quote> и отсутствие какого-либо особого значения для обратной косой черты). Кроме того, его использование было явно рекомендовано в качестве обходного пути к (уже давно фиксированному) bug, о котором сообщает почта ircmaxell. Кто знает, некоторые администраторы баз данных могут даже настроить его по умолчанию как средство предотвращения использования неправильных методов экранирования, таких как addslashes().

Кроме того, SQL-режим нового подключения устанавливается сервером в соответствии с его конфигурацией (которую пользователь SUPER может изменить на в любой момент); таким образом, чтобы быть уверенным в поведении сервера, вы всегда должны явно указывать нужный вам режим после подключения.

Сохранение грации

До тех пор, пока вы всегда явно задаете режим SQL, чтобы не включать NO_BACKSLASH_ESCAPES, или цитируйте строковые литералы MySQL с использованием символа с одной кавычкой, эта ошибка не может вернуть свою уродливую голову: соответственно escape_quotes_for_mysql() не будет использоваться или его предположение о том, какие кодовые символы требуют повторения, будет правильным.

По этой причине я рекомендую, чтобы кто-либо, использующий NO_BACKSLASH_ESCAPES, также включил режим ANSI_QUOTES, поскольку он заставит привычное использование одноразовых приложений, цитируемые строковые литералы. Обратите внимание, что это не предотвращает SQL-инъекцию в случае использования двухцилиндровых литералов — это просто уменьшает вероятность того, что это произойдет (поскольку обычные, не вредоносные запросы потерпят неудачу).

В PDO обе его эквивалентная функция PDO::quote() и ее подготовленный эмулятор заявления вызывают mysql_handle_quoter() — что делает именно это: он гарантирует, что экранированный литерал цитируется в одинарных кавычках, поэтому вы можете быть уверены, что PDO всегда невосприимчив к этой ошибке.

С MySQL v5.7.6 эта ошибка исправлена. См. журнал изменений:

Функциональность добавлена или изменена

Несовместимое изменение: Новая функция API C, mysql_real_escape_string_quote(), была реализована как замена mysql_real_escape_string(), поскольку последняя функция может не правильно кодировать символы, когда NO_BACKSLASH_ESCAPES Режим SQL включен. В этом случае mysql_real_escape_string() не может избежать символов кавычек, за исключением их удвоения, и для этого необходимо знать больше информации о контексте цитирования чем доступно. mysql_real_escape_string_quote() принимает дополнительный аргумент для указания контекста цитирования. Подробнее об использовании см. mysql_real_escape_string_quote().

Примечание

Приложения должны быть изменены, чтобы использовать mysql_real_escape_string_quote() вместо mysql_real_escape_string(), который теперь терпит неудачу и создает ошибку CR_INSECURE_API_ERR, если NO_BACKSLASH_ESCAPES.

Ссылки: См. также Ошибка # 19211994.

Безопасные примеры

В сочетании с ошибкой, объясненной ircmaxell, следующие примеры полностью безопасны (если предположить, что один из них использует MySQL позже 4.1.20, 5.0.22, 5.1.11 или тот, который не использует GBK/Big5 кодирование соединения):

mysql_set_charset($charset);
mysql_query("SET SQL_MODE=''");
$var = mysql_real_escape_string('" OR 1=1 /*');
mysql_query('SELECT * FROM test WHERE name = "'.$var.'" LIMIT 1');

... потому что мы явно выбрали режим SQL, который не включает NO_BACKSLASH_ESCAPES.

mysql_set_charset($charset);
$var = mysql_real_escape_string("' OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

... потому что мы цитируем наш строковый литерал с одиночными кавычками.

$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(["' OR 1=1 /*"]);

... потому что подготовленные заявления PDO не защищены от этой уязвимости (и ircmaxell тоже при условии, что вы используете PHP≥5.3.6, и набор символов был правильно установлен в DSN или что подготовленная эмуляция оператора имеет отключен).

$var  = $pdo->quote("' OR 1=1 /*");
$stmt = $pdo->query("SELECT * FROM test WHERE name = $var LIMIT 1");

... потому что функция PDO quote() не только ускользает от литерала, но и цитирует его (в символах с одной кавычкой '); что во избежание ошибки ircmaxell в этом случае вы должны использовать PHP≥5.3.6 и правильно установить набор символов в DSN.

$stmt = $mysqli->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$param = "' OR 1=1 /*";
$stmt->bind_param('s', $param);
$stmt->execute();

... потому что подготовленные операторы MySQLi безопасны.

Обертка

Таким образом, если вы:

использовать собственные подготовленные операторы

ИЛИ

использовать MySQL v5.7.6 или новее

ИЛИ

помимо использования одного из решений в сводке ircmaxell, используйте, по крайней мере, один из:
- ПДО;
- строковые литералы с одной кавычкой; или
- явно установленный режим SQL, который не включает NO_BACKSLASH_ESCAPES

... тогда вы должны быть полностью в безопасности (уязвимости, выходящие за пределы строки, выходящей в сторону).

eggyal 24 апр. 2014, в 20:42

7

Таким образом, TL; DR будет выглядеть так: «Существует режим сервера mysql NO_BACKSLASH_ESCAPES, который может вызвать инъекцию, если вы не используете одинарные кавычки.
Your Common Sense 25 апр. 2014, в 09:10
0

@YourCommonSense: Да, спасибо! Я добавлю это.
eggyal 25 апр. 2014, в 09:11
0

Я не могу получить доступ к bugs.mysql.com/bug.php?id=72458 ; Я просто получаю страницу с отказом в доступе. Это скрыто от общественности из-за проблемы безопасности? Кроме того, правильно ли я понимаю из этого ответа, что вы открываете уязвимость? Если так, поздравляю.
Mark Amery 27 апр. 2014, в 13:10
0

@MarkAmery: Э-э, я думаю, что ответом на оба эти вопроса является «да» - хотя я подозреваю, что многие не будут считать это уязвимостью как таковой , а скорее недостатком дизайна в отделении экранирования от цитирования. В отчете об ошибках я предложил исправление, но поскольку оно меняет протокол (хотя и безопасным способом), я не знаю, будет ли исправление принято.
eggyal 27 апр. 2014, в 14:33
1

Во-первых, людям не следует использовать " для строк». SQL говорит, что это для идентификаторов. Но да ... просто еще один пример того, как MySQL говорит: «Винтовые стандарты, я сделаю все, что хочу». (К счастью, вы можете включить ANSI_QUOTES в режиме исправления ANSI_QUOTES цитирования. Однако открытое игнорирование стандартов является более серьезной проблемой, которая может потребовать более жестких мер.)
cHao 27 авг. 2014, в 23:04
0

@eggyal, достаточно ли использования PDO или необходимо использовать подготовленные операторы PDO? Учтите это в php / PDO: $ sql = "select * from product_master, где abbr = '". $ _ GET [' prod ']. "'"; // упорядочить по skey limit ".mt_rand (1,10).", 10 "; $ stmt = $ pdo-> query ($ sql). Это было бы широко открыто для инъекций, без защиты на $ _GET. Нет? Кроме того, использование одинарных кавычек должно поддерживаться mysqli_real_escape_string, верно? «Если эти вопросы кажутся слишком очевидными, моя проблема в том, что я читаю ответ, и я не уверен, что он говорит, что эти вещи сглаживаются. Я вижу примеры, показывающие это.
DanAllen 06 апр. 2017, в 03:47
1

@DanAllen: мой ответ был немного шире, так как вы можете избежать этой конкретной ошибки с помощью функции quote() PDO, но подготовленные операторы являются гораздо более безопасным и более подходящим способом избежать внедрения в целом. Конечно, если вы непосредственно связали неэкранированные переменные в свой SQL, то вы наверняка уязвимы для внедрения независимо от того, какие методы вы будете использовать после этого.
eggyal 06 апр. 2017, в 07:07
1

@eggyall: наша система основана на втором безопасном примере выше. Есть ошибки, где mysql_real_escape_string была опущена. Исправление их в аварийном режиме, кажется, разумный путь, надеясь, что мы не получим ядерное оружие до исправлений. Мое обоснование заключается в том, что преобразование в подготовленные заявления будет гораздо более длительным процессом, который должен последовать после. Является ли причина, по которой подготовленные заявления безопаснее, из-за того, что ошибки не создают уязвимостей? Другими словами, правильно ли реализован 2-й пример, описанный выше, так же безопасно, как подготовленные операторы?
DanAllen 06 апр. 2017, в 12:19
0

Хорошая разбивка ... я предполагаю, что mysql->charset внутри функций escape_quotes_for_mysql(mysql->charset, to, 0, from, length) и escape_string_for_mysql(mysql->charset, to, 0, from, length); является ли MySQL соединительной кодировкой по умолчанию или, если используется SET NAMES или какой-либо другой тип функции set_charset() ?
Raymond Nijland 24 июль 2018, в 12:21
0

@ eggyal, если я установлю sql_mode=ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION,NO_BACKSLASH_ESCAPES Это достаточно безопасно? Нужно ли дополнительно использовать mysql_query("SET SQL_MODE=''"); в скрипте PHP?
kittygirl 05 нояб. 2018, в 03:52

Показать ещё 8 комментариев

19

Ну, нет ничего, что могло бы пройти через это, кроме % wildcard. Это может быть опасно, если вы используете инструкцию LIKE, поскольку злоумышленник может поместить только % в качестве логина, если вы не отфильтровываете это, и вам придется просто набросать пароль любого из ваших пользователей. Люди часто предлагают использовать подготовленные заявления, чтобы сделать его на 100% безопасным, поскольку данные не могут помешать самому запросу. Но для таких простых запросов, вероятно, было бы более эффективно делать что-то вроде $login = preg_replace('/[^a-zA-Z0-9_]/', '', $login);

Slava 21 апр. 2011, в 09:55

1

+1, но подстановочные знаки для предложения LIKE, а не простого равенства.
Dor 21 апр. 2011, в 08:08
4

По какой мере вы считаете простую замену more efficient чем использование готовых утверждений? (Подготовленные операторы всегда работают, библиотека может быть быстро исправлена в случае атак, не подвергается человеческим ошибкам [например, неправильный ввод полной строки замены] и имеет значительные преимущества в производительности, если оператор используется повторно).
MatBailie 21 апр. 2011, в 08:28
4

@Slava: вы фактически ограничиваете имена пользователей и пароли только символами. Большинство людей, которые знают что-либо о безопасности, сочли бы это плохой идеей, так как это значительно сокращает пространство поиска. Конечно, они также сочли бы плохой идеей хранить пароли в виде открытого текста в базе данных, но нам не нужно усугублять проблему. :)
cHao 27 янв. 2013, в 01:26
2

@ cHao, мое предложение касается только логинов. Очевидно, вам не нужно фильтровать пароли, извините, в моем ответе нет четких указаний. Но на самом деле это может быть хорошей идеей. Использовать «неосведомленное древо дерева» вместо трудно запоминаемого типа «a4üua3! @V \» ä90; 8f »было бы гораздо сложнее, чем грубо говоря. Даже используя словарь, скажем, 3000 слов, чтобы помочь вам, зная Вы использовали ровно 4 слова - это все равно будет примерно 3,3 * 10 ^ 12 комбинаций. :)
Slava 28 янв. 2013, в 09:26
1

@ Слава: я видел эту идею раньше; см. xkcd.com/936 . Проблема в том, что математика не совсем справляется. Ваш пример 17-символьного пароля имел бы 96 ^ 17 возможностей, и это если бы вы забыли умляуты и ограничились печатным ASCII. Это примерно 4,5х10 ^ 33. Мы говорим буквально в миллиард триллионов раз больше работы для грубой силы. Даже 8-символьный пароль ASCII будет иметь 7,2x10 ^ 15 возможностей - в 3 тысячи раз больше.
cHao 28 янв. 2013, в 13:21
0

@cHao, извините, что продолжаю эту священную войну здесь, но все же ... Допустим, вы довольно хорошо разбираетесь в ресурсах и можете использовать 100 миллионов паролей в секунду. Использование словаря из 3 тысяч слов и знание четырех слов, для которых требуется 3,3 триллиона паролей, займет у вас около 23 дней. Этого будет достаточно, чтобы хост заметил украденную БД и сменил пароль. Достаточно безопасно. Вы можете сделать это во много раз сложнее, чередуя строчные и прописные буквы. И все это при условии, что злоумышленник знает, что есть ровно 4 слова, что маловероятно.
Slava 28 янв. 2013, в 19:29
0

А если вы используете слова, сделанные самим собой, то нападающему придется попробовать символом ... 22 символа с 6 битами на символ (строчные буквы в верхнем регистре, тире и т. Д. = Примерно 64) ~ = 5,4 duodecillion = лет
Slava 28 янв. 2013, в 19:38
0

@Slava: Большинство владельцев сайтов даже не осознают, что существуют серверные логи, а тем более их читают. И злоумышленник, не являющийся идиотом, не украл бы данные, а просто скопировал бы их ... оставив сайт работоспособным, а ваш средний владелец даже не осознавая, что произошло вторжение (и, следовательно, не зная, как сбросить пароли), давая злоумышленнику много время взломать простые фразы. Человеческая природа эффективно гарантирует, что будут простые фразы, особенно если разрешены слова из словаря. И без слов в словаре все, что вы сделали, - это запрос пароля с 20 + символами, за который вас ненавидят пользователи. :)
cHao 29 янв. 2013, в 05:41
0

Пользователи просто хотят сделать дерьмо. Безопасность прямо противоположна этому в большинстве случаев, и вы можете смело предполагать, что ее можно избежать или подорвать любыми возможными способами. Люди не собираются выбирать полдюжины случайных воображаемых слов; они выберут короткую строку / предложение / броскую фразу из своей любимой книги или фильма или чего-то еще, что сделает фразу намного более предсказуемой. Чтобы помешать им делать такие вещи, вы должны в основном заставить сервер понимать английский язык и / или искать в базе данных наиболее известных художественных произведений используемую фразу.
cHao 29 янв. 2013, в 05:51

Показать ещё 7 комментариев

0

Я сталкивался с этим, и я предлагаю вам поработать с PDO, но в некоторых случаях вы можете попробовать этот метод. Работает и очень просто. Интересно, почему люди пренебрегали этим?

Пример кода. // Используя мой фреймворк Moorexa

он поддерживает богатый ORM и многое другое. Но я должен был выполнить этот контрольный пример, чтобы быть уверенным в альтернативе людям, которые пишут необработанные SQL-выражения.

пример.

// checking from a user table
$check = DB::table('api_users')->get(['username' => "admin' or password='1'"])->run();

// expected output
SELECT * FROM api_users  WHERE username='admin' or password='1'

//sql generated output
SELECT * FROM api_users  WHERE username='admin\' or password=\'1\''

// lets try something heavy
$check = DB::table($table)->get(['username' => "admin' or 1=1 UNION SELECT password FROM api_users where id=1"])->run();

// expected output
SELECT * FROM api_users  WHERE username='admin' or 1=1 UNION SELECT password FROM api_users where id=1

// this would pass and fail
SELECT * FROM api_users  WHERE username='admin\' or 1=1 UNION SELECT password FROM api_users where id=1'

так в чем суть.

Тип проверки.
подтвердить ввод пользователя. <ДОВЕРЯЙТЕ НЕТ ОДНОМУ>
кавычки для строк

Я покажу вам пример кода, выполняющего запрос выбора.

// let assume. would all work
$input = ['username' => "moorexa"]; //or $_POST or $_GET

$sql = 'SELECT * FROM '.$table.' ';

$safe = "";

// let grab the user input from the array
foreach ($input as $key => $val)
{
    switch($val)
    {
        case is_string($val):
            $safe .= $key .'=\''.addslashes($val).'\' AND ';
        break;

        case is_int($val):
            $safe .= $key .'='.((int) $val).' AND ';
        break;

        case is_float($val):
        case is_double($val):
            $safe .= $key .'='.(double) $val.' AND ';
        break;

        default:
            // this failed
    }
}

$safe = rtrim($safe, "AND ");
$sql .= ' WHERE '. $safe .' ';  

// now sql contains a valid statement. and would only fail when terms are not met.
// Hope you can apply this and also use more test cases.

Ifeanyi Amadi 14 нояб. 2018, в 09:58

-1

Расширение mysql устарело с PHP 5.5 и полностью удалено в PHP7. Это означает, что вы не можете использовать mysql_ * в PHP7

Используйте PDO или Mysqli вместо mysql. С точки зрения предотвращения инъекций sql используйте параметризованный запрос или подготовленный отчет.

Thushan 03 янв. 2018, в 08:52

Ещё вопросы

Обычно лучше выполнить проверку пароля в коде PHP, чтобы вы могли отобразить более подробную ошибку (неверный пользователь / неверный пароль)
@ThiefMaster Я знаю, что это просто простой пример, чтобы донести свою мысль.
Всегда используйте готовые заявления. Обеспечение безопасности, преимущества производительности при повторном использовании операторов, стандартизированное кодирование и поддержка библиотек всегда (на мой взгляд) превосходят любые другие альтернативные «короткие» методы.
@ThiefMaster - я предпочитаю не давать подробных ошибок, таких как неверный пользователь / неверный пароль ... он говорит торговцам грубой силы, что у них есть действительный идентификатор пользователя, и это просто пароль, который им нужно угадать
Это ужасно с точки зрения удобства использования. Иногда вы не могли использовать свой основной ник / имя пользователя / адрес электронной почты и забыть об этом через некоторое время, или сайт удалил вашу учетную запись из-за неактивности. Тогда это очень раздражает, если вы продолжаете пробовать пароли и, возможно, даже блокируете свой IP-адрес, даже если ваше имя пользователя недействительно.
Пожалуйста, не используйте функции mysql_* в новом коде . Они больше не поддерживаются, и процесс амортизации уже начался. Видишь красную коробку ? Вместо этого узнайте о готовых утверждениях и используйте PDO или MySQLi - эта статья поможет вам решить, какие именно. Если вы выбираете PDO, вот хороший урок .
@ tereško: Они не будут удалять функцию mysql_ * из php, по крайней мере, не очень скоро. Возможно, в 2050 году. Подумайте об этом, если они удалят его, все серверы, которые выполняют автоматическое обновление php, будут иметь все веб-сайты нефункциональными. Это просто абсурдно.
@machineaddict, начиная с версии 5.5 (которая была недавно выпущена), функции mysql_* уже выдают предупреждение E_DEPRECATED . Расширение ext/mysql не поддерживается более 10 лет. Вы действительно так бредите?
Поскольку большинство производственных веб-сайтов не печатают ошибки, E_DEPRECATED бесполезен. Пока все веб-сайты не переключатся с функций mysql, они не будут удалены. Даже там, где я работаю, мне приходится работать с расширением mysql, потому что даже они не думают, что оно будет удалено очень скоро. Возможно в php 6.0. Увидим...
@machineaddict Это будет удалено в конце концов. Серверы не выполняют автоматические обновления, как вы утверждали. Большинство серверов работают под управлением LTS-версий Linux, поэтому они все еще используют относительно старые версии PHP (многие серверы все еще работают на PHP 5.1 или 5.2). Если они удалят его в следующем основном выпуске PHP, будет достаточно времени, чтобы прекратить использовать функции mysql_ * (и серьезно никто не использовал его в течение многих лет, это только в устаревшем коде), поскольку это займет время (вероятно, несколько лет) пока новая версия не будет добавлена в версии LTS.
Существует только один надежный способ защитить вас от внедрения SQL. Просто проверьте, что переменная содержит то, что вы ожидаете. Если вы ожидаете целое число, используйте ctype_digit ... В большинстве случаев вы должны окружить его "" или ". и бежать в кавычках переменных соответствия ...
Символ [пробел] после двух черточек (-) в последнем может сделать запрос действительным. ааа 'ИЛИ 1 = 1 - [SPACE_HERE]
@Loenix: С целыми числами может быть даже лучший способ: вместо проверки просто превратить его в то, что вы ожидаете. $value = (int) $value; или $value = intval($value); , Он обрабатывает такие вещи, как отрицательные знаки, а ctype_digit - нет.
@cHao Я не могу с тобой согласиться. Лучший способ - всегда проверять значения, потому что это не означает, что ожидаются все целые числа, мы не хотим вставлять значения, которые пользователь тоже не хочет. Если вы вставляете данные, вы должны: проверить ожидаемый контент и отформатировать значение, чтобы оно было стандартизированным или работоспособным. Здесь, если вы проверите его и получите неверно отформатированное имя пользователя, вы можете вернуть «Эй, ваше значение недействительно, пожалуйста, исправьте его».
@Loenix: Если вы фильтруете по деловым причинам (например, убедитесь, что номер телефона похож на номер телефона), это одно. Но фильтрация по техническим причинам ошибочна. SQL-инъекция не вызвана плохими данными; это вызвано плохим кодом . Можно иметь имя <script>alert("①'ᆖ@\'½¶ഝ") , если они действительно хотят его напечатать. Если оно сломает ваше приложение, значит ваше приложение уже сломано . В лучшем случае отказ от такого имени по техническим причинам является бинтом; в худшем случае это ложная безопасность.
@machineaddict Они только что удалили это расширение в PHP 7.0, но это еще не 2050 год.
PDO, эмулирующий подготовку операторов для MySQL, правда? Я не вижу никакой причины, по которой это будет сделано, поскольку драйвер поддерживает его изначально. Нет?
Оно делает. Они говорят, что в документации это не так. Но в исходном коде это ясно видно и легко исправить. Я списываю это на счет некомпетентности разработчиков.
@ TheodoreR.Smith: Это не так легко исправить. Я работал над изменением настроек по умолчанию, но при переключении он не справляется с нагрузкой на лодке. Так что это большее изменение, чем кажется. Я все еще надеюсь закончить это к 5,5 ...
@ircmaxell Есть несколько вещей: как указано в статье, на которую вы ссылаетесь, эту уязвимость можно использовать только при использовании addslashes() а не mysql_real_escape_string() - это должно быть безопасно, как написано в статье (прочитайте еще раз). Во-вторых, мне очень любопытно, как можно использовать PUT, GET или POST char(0xBF) а затем char(0x27) ... Хотя это можно продемонстрировать с помощью написанного нами PHP, я сомневаюсь, что можно публиковать такие значения из формы или URL-адреса .. ,
@shadyyx: Нет, уязвимость в статье описана была около addslashes . Я основал эту уязвимость на этом. Попробуй сам. Получите MySQL 5.0, запустите этот эксплойт и убедитесь сами. Что касается того, как поместить это в PUT / GET / POST, это TRIVIAL. Входные данные - это просто байтовые потоки. char(0xBF) - это просто читаемый способ генерирования байта. Я продемонстрировал эту уязвимость в прямом эфире перед несколькими конференциями. Поверь мне в этом ... Но если нет, попробуй сам. Оно работает...
@shadyyx: Что касается передачи такой забавы в $ _GET ... ?var=%BF%27+OR+1=1+%2F%2A в URL, $var = $_GET['var']; в коде, и Боб твой дядя.
@MarkAmery: Подумав, я думаю, ты прав. Если я хочу отправить 0xbf27 т. 0xbf27 ¿' 0xbf27 соединение latin1 то, конечно, клиент все равно должен экранировать его как ¿\' т. 0xbf5c27 . Тем не менее, если сервер декодирует полученные байты с использованием GBK (т. Е. Клиент ошибся в кодировке соединения), он обнаружит, что существует неэкранированный ' и не может знать, что это не было предназначенным разработчиком SQL. Я обновил этот ответ с тем, что, как мне кажется, было задумано: до исправления ошибки даже правильная настройка кодировки клиента не помогла бы!
@eggyal Теперь я правильно понимаю проблему (и воспроизвел ее просто для удовольствия). Спасибо за вашу замечательную работу здесь. Дополнительные вещи, на которые стоит обратить внимание: 1. та же атака может быть продемонстрирована на mysqli_real_escape_string (как и следовало ожидать); Ваше краткое замечание о MySQLi здесь может быть истолковано кем-то глупым как означающее, что MySQLi защищен от этой атаки, но это верно только в том случае, если вы используете параметризованные запросы. 2. php.net/manual/en/mysqlinfo.concepts.charset.php намекает на существование этой атаки и описывает надлежащие способы установки кодировки соединения для каждого API.
У меня есть ощущение, что некоторые акценты должны быть удалены, и добавил хладнокровный TL; DR, сказав, что, пока кодирование установлено правильно и используются одинарные кавычки, не будет ни одной проблемы.
@ user1986811 нет, наоборот. Этот запрос является источником уязвимости ... Никогда не используйте set names . Вместо этого всегда вызывайте правильный метод API (для mysql_ *: mysql_set_charset() ) ...
Хорошо, тогда я был в замешательстве ... я удалю свой глупый комментарий, большое спасибо. один момент ... почему это было в разделе " Безопасные примеры"
Чарсет все еще проблема? Поскольку в теге php-5.6.1 в описании mysql_real_escape_strings указано, что mysql_real_escape_strings Escape special characters in a string for use in a SQL statement, taking into account the current charset of the connection поэтому я полагаю, что это зависит от того, как «текущая кодировка соединение "определяется.
Таким образом, TL; DR будет выглядеть так: «Существует режим сервера mysql NO_BACKSLASH_ESCAPES, который может вызвать инъекцию, если вы не используете одинарные кавычки.
@YourCommonSense: Да, спасибо! Я добавлю это.
Я не могу получить доступ к bugs.mysql.com/bug.php?id=72458 ; Я просто получаю страницу с отказом в доступе. Это скрыто от общественности из-за проблемы безопасности? Кроме того, правильно ли я понимаю из этого ответа, что вы открываете уязвимость? Если так, поздравляю.
@MarkAmery: Э-э, я думаю, что ответом на оба эти вопроса является «да» - хотя я подозреваю, что многие не будут считать это уязвимостью как таковой , а скорее недостатком дизайна в отделении экранирования от цитирования. В отчете об ошибках я предложил исправление, но поскольку оно меняет протокол (хотя и безопасным способом), я не знаю, будет ли исправление принято.
Во-первых, людям не следует использовать " для строк». SQL говорит, что это для идентификаторов. Но да ... просто еще один пример того, как MySQL говорит: «Винтовые стандарты, я сделаю все, что хочу». (К счастью, вы можете включить ANSI_QUOTES в режиме исправления ANSI_QUOTES цитирования. Однако открытое игнорирование стандартов является более серьезной проблемой, которая может потребовать более жестких мер.)
@eggyal, достаточно ли использования PDO или необходимо использовать подготовленные операторы PDO? Учтите это в php / PDO: $ sql = "select * from product_master, где abbr = '". $ _ GET [' prod ']. "'"; // упорядочить по skey limit ".mt_rand (1,10).", 10 "; $ stmt = $ pdo-> query ($ sql). Это было бы широко открыто для инъекций, без защиты на $ _GET. Нет? Кроме того, использование одинарных кавычек должно поддерживаться mysqli_real_escape_string, верно? «Если эти вопросы кажутся слишком очевидными, моя проблема в том, что я читаю ответ, и я не уверен, что он говорит, что эти вещи сглаживаются. Я вижу примеры, показывающие это.
@DanAllen: мой ответ был немного шире, так как вы можете избежать этой конкретной ошибки с помощью функции quote() PDO, но подготовленные операторы являются гораздо более безопасным и более подходящим способом избежать внедрения в целом. Конечно, если вы непосредственно связали неэкранированные переменные в свой SQL, то вы наверняка уязвимы для внедрения независимо от того, какие методы вы будете использовать после этого.
@eggyall: наша система основана на втором безопасном примере выше. Есть ошибки, где mysql_real_escape_string была опущена. Исправление их в аварийном режиме, кажется, разумный путь, надеясь, что мы не получим ядерное оружие до исправлений. Мое обоснование заключается в том, что преобразование в подготовленные заявления будет гораздо более длительным процессом, который должен последовать после. Является ли причина, по которой подготовленные заявления безопаснее, из-за того, что ошибки не создают уязвимостей? Другими словами, правильно ли реализован 2-й пример, описанный выше, так же безопасно, как подготовленные операторы?
Хорошая разбивка ... я предполагаю, что mysql->charset внутри функций escape_quotes_for_mysql(mysql->charset, to, 0, from, length) и escape_string_for_mysql(mysql->charset, to, 0, from, length); является ли MySQL соединительной кодировкой по умолчанию или, если используется SET NAMES или какой-либо другой тип функции set_charset() ?
@ eggyal, если я установлю sql_mode=ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION,NO_BACKSLASH_ESCAPES Это достаточно безопасно? Нужно ли дополнительно использовать mysql_query("SET SQL_MODE=''"); в скрипте PHP?
+1, но подстановочные знаки для предложения LIKE, а не простого равенства.
По какой мере вы считаете простую замену more efficient чем использование готовых утверждений? (Подготовленные операторы всегда работают, библиотека может быть быстро исправлена в случае атак, не подвергается человеческим ошибкам [например, неправильный ввод полной строки замены] и имеет значительные преимущества в производительности, если оператор используется повторно).
@Slava: вы фактически ограничиваете имена пользователей и пароли только символами. Большинство людей, которые знают что-либо о безопасности, сочли бы это плохой идеей, так как это значительно сокращает пространство поиска. Конечно, они также сочли бы плохой идеей хранить пароли в виде открытого текста в базе данных, но нам не нужно усугублять проблему. :)
@ cHao, мое предложение касается только логинов. Очевидно, вам не нужно фильтровать пароли, извините, в моем ответе нет четких указаний. Но на самом деле это может быть хорошей идеей. Использовать «неосведомленное древо дерева» вместо трудно запоминаемого типа «a4üua3! @V \» ä90; 8f »было бы гораздо сложнее, чем грубо говоря. Даже используя словарь, скажем, 3000 слов, чтобы помочь вам, зная Вы использовали ровно 4 слова - это все равно будет примерно 3,3 * 10 ^ 12 комбинаций. :)
@ Слава: я видел эту идею раньше; см. xkcd.com/936 . Проблема в том, что математика не совсем справляется. Ваш пример 17-символьного пароля имел бы 96 ^ 17 возможностей, и это если бы вы забыли умляуты и ограничились печатным ASCII. Это примерно 4,5х10 ^ 33. Мы говорим буквально в миллиард триллионов раз больше работы для грубой силы. Даже 8-символьный пароль ASCII будет иметь 7,2x10 ^ 15 возможностей - в 3 тысячи раз больше.
@cHao, извините, что продолжаю эту священную войну здесь, но все же ... Допустим, вы довольно хорошо разбираетесь в ресурсах и можете использовать 100 миллионов паролей в секунду. Использование словаря из 3 тысяч слов и знание четырех слов, для которых требуется 3,3 триллиона паролей, займет у вас около 23 дней. Этого будет достаточно, чтобы хост заметил украденную БД и сменил пароль. Достаточно безопасно. Вы можете сделать это во много раз сложнее, чередуя строчные и прописные буквы. И все это при условии, что злоумышленник знает, что есть ровно 4 слова, что маловероятно.
А если вы используете слова, сделанные самим собой, то нападающему придется попробовать символом ... 22 символа с 6 битами на символ (строчные буквы в верхнем регистре, тире и т. Д. = Примерно 64) ~ = 5,4 duodecillion = лет
@Slava: Большинство владельцев сайтов даже не осознают, что существуют серверные логи, а тем более их читают. И злоумышленник, не являющийся идиотом, не украл бы данные, а просто скопировал бы их ... оставив сайт работоспособным, а ваш средний владелец даже не осознавая, что произошло вторжение (и, следовательно, не зная, как сбросить пароли), давая злоумышленнику много время взломать простые фразы. Человеческая природа эффективно гарантирует, что будут простые фразы, особенно если разрешены слова из словаря. И без слов в словаре все, что вы сделали, - это запрос пароля с 20 + символами, за который вас ненавидят пользователи. :)
Пользователи просто хотят сделать дерьмо. Безопасность прямо противоположна этому в большинстве случаев, и вы можете смело предполагать, что ее можно избежать или подорвать любыми возможными способами. Люди не собираются выбирать полдюжины случайных воображаемых слов; они выберут короткую строку / предложение / броскую фразу из своей любимой книги или фильма или чего-то еще, что сделает фразу намного более предсказуемой. Чтобы помешать им делать такие вещи, вы должны в основном заставить сервер понимать английский язык и / или искать в базе данных наиболее известных художественных произведений используемую фразу.

Wesley van Opdorp · Accepted Answer · 2011-04-21T08-59-00.000Z

311

Лучший ответ

Рассмотрим следующий запрос:

$iId = mysql_real_escape_string("1 OR 1=1");    
$sSql = "SELECT * FROM table WHERE id = $iId";

mysql_real_escape_string() не защитит вас от этого. Тот факт, что вы используете одиночные кавычки (' ') вокруг ваших переменных внутри вашего запроса, защищает вас от этого. Ниже приведена также опция:

$iId = (int)"1 OR 1=1";
$sSql = "SELECT * FROM table WHERE id = $iId";

Wesley van Opdorp 21 апр. 2011, в 08:59

0

Что если пользователи передают одинарную кавычку как часть значения: 1'; DROP TABLE -- завершающий комментарий заставит движок игнорировать свисающие другие одинарные кавычки из оператора
a_horse_with_no_name 21 апр. 2011, в 08:19
0

@wesley $iId = mysql_real_escape_string((int)"1; DROP table"); или `$ dirty =" 1; DROP table "; $ iId = mysql_real_escape_string ((int) $ dirty); я думаю, будет лучшим примером, чем у вас есть.
Kzqai 09 сен. 2011, в 05:09
8

Но это не будет настоящей проблемой, потому что mysql_query() не выполняет несколько операторов, нет?
Pekka 웃 07 окт. 2011, в 21:07
7

@Pekka, хотя обычный пример - DROP TABLE , на практике злоумышленник с большей вероятностью SELECT passwd FROM users . В последнем случае второй запрос обычно выполняется с использованием предложения UNION .
Jacco 21 май 2012, в 09:47
55

(int)mysql_real_escape_string - это не имеет смысла. Он не отличается от (int) вообще. И они будут давать одинаковый результат для каждого входа
zerkms 24 июль 2012, в 22:40
24

Это скорее неправильное использование функции, чем все остальное. В конце концов, он называется mysql_real_escape_string , а не mysql_real_escape_integer . Это не значит использовать с целочисленными полями.
NullUserException 09 окт. 2012, в 16:29
7

@ircmaxell, но ответ полностью вводит в заблуждение. Очевидно, вопрос заключается в содержании цитат. «Кавычек нет» не является ответом на этот вопрос.
Pacerier 11 апр. 2015, в 13:12
0

Почему вы удалили редактирование, @eggyal? В любом случае, приведение к int даст число. В числах, связанных с побегом, не может быть ничего опасного, верно? А приведение к целому числу само по себе не заботится о каком-либо побеге.
Palec 05 фев. 2016, в 08:20
2

@wesley "Тот факт, что вы используете одинарные кавычки ('') вокруг своих переменных внутри запроса, защищает вас от этого". Хорошо, но одинарные кавычки были частью примера, вопрос, заданный для атаки для той ситуации, когда вы используете одинарные кавычки.
Eugenio 19 май 2016, в 19:05
0

@ Уэсли ван Опдорп Почему одиночные кавычки защищают от внедрения SQL? После расширения переменных запрос выглядит следующим образом: SELECT * FROM table WHERE login = 'aaa' или 1 = 1 - 'AND password =' some_value 'Почему это недопустимый оператор SQL?
CuriousGuy 10 март 2017, в 12:05
2

@CuriousGuy Запрос будет выглядеть как `SELECT * FROM table WHERE login = 'aaa or 1 = 1 -' AND password = 'some_value'; ваша полезная нагрузка - это весь термин, а одинарные кавычки заключаются вокруг всего термина, поэтому это безопасно.
rndus2r 19 авг. 2017, в 16:00
0

Отличное обучение для меня. Получите мой ответ здесь.
arun tiwari 13 фев. 2018, в 14:31

Показать ещё 10 комментариев

SQL-инъекция, которая обходит mysql_real_escape_string ()

6 ответов

Для очень ОБЫЧНЫХ КЛУБОВ!!!

Атака

Плохой

Уродливый

Безопасные примеры

Обертка

TL; DR

Это другой (возможно, менее?) непонятный КРАЙНЫЙ СЛУЧАЙ!!!

Атака

Плохой

Уродливый

Сохранение грации

Функциональность добавлена ​​или изменена

Примечание

Безопасные примеры

Обертка

Ещё вопросы

Функциональность добавлена или изменена