热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

深入escape_string for Mysql

发布时间:2013-01-24 11:07文章来源:网络文章作者:wofeiwo 点击次数:
摘要:Author: wofeiwo#80sec.com Date: 2009-7-28 一、背景 在日常的web程序编写过程中,经常需要处理字符集的问题。在PHP+Mysql的环境下,通常会使用SET NAMES来设定Mysql数据库当前所使用的字符集。 但是这就很容易造成一个问题:通过字符集转换进行注射攻击,...

Author: wofeiwo#80sec.com
Date: 2009-7-28

一、背景
在日常的web程序编写过程中,经常需要处理字符集的问题。在PHP+Mysql的环境下,通常会使用SET NAMES来设定Mysql数据库当前所使用的字符集。
但是这就很容易造成一个问题:通过字符集转换进行注射攻击,通常这样的代码能够绕过PHP 函数addslashes或mysql_escape_string的过滤。因为addslashes、mysql_escape_string没有考虑 到宽字符,一旦使用就会造成误过滤。能够被巧妙运用并造成SQL注射攻击。
因此,为了更好的安全性需要,我们需要使用脚本语言提供的real_escape_string API对用户输入到Mysql数据库中执行的语句或变量进行安全性的过滤。这是一个非常良好的习惯。Real_escape_string函数理论上会按 照当前字符集的设置,有效处理单、宽字符,不放过任何一个敏感字符(如单引号,双引号,反斜线等)。但是,在现实的运用过程中,却常常并非如此。
让我们来看看如下一份代码。
 

  1. <?php 
  2. $mysqli = new mysqli("localhost", "user", "pass", "test", 3306); 
  3.  
  4. /* check connection */ 
  5. if (mysqli_connect_errno()) { 
  6.     printf("Connect failed: %s\n", mysqli_connect_error()); 
  7.     exit(); 
  8.  
  9. $mysqli->query('SET NAMES gbk'); //使用set names设置字符集 
  10. $city = chr(0xbf).chr(0x5c); //0xbf5c是个有效的gbk字符,模拟用户输入 
  11. $city = $mysqli->real_escape_string ($city);//使用real_escape进行过滤 
  12.  
  13.  
  14. /* this query will fail, cause we didn't escape $city */ 
  15. if (!$mysqli->query("INSERT into myCity(name) VALUES ('$city')")) { 
  16.     print "INSERT into myCity (name) VALUES ('$city')\n"; 
  17.     printf("Error: %s\n", $mysqli->error); 
  18.  
  19. var_dump($city); 
  20.  
  21. var_dump($mysqli->client_encoding()); 
  22.  
  23. $mysqli->close(); 
  24. ?>  


这份代码的结构很常见,它的执行结果如下:
INSERT into myCity (name) VALUES ('縗\')
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''縗\')' at line 1
string(3) "縗\"
string(6) "latin1"

我们可以看到,虽然使用SET NAMES设置了数据库的字符集,但是real_escape_string函数却没有起到他该有的作用:按照当前字符集,过滤敏感字符。反而还是和 addslashes一样,一个字节一个字节过滤,使得“0xbf5c”(縗)被过滤成了“0xbf5c5c”(縗\)。从而转义了后面的单引号,破坏了 sql语句。

二、原因
再仔细查看上面一段程序的结果。会发现mysql的client_encoding()函数返回的字符集是”latin1”。很明显,real_escape_string是按照了这个字符集对参数进行过滤,所以才导致了以上的这些问题。
在mysql手册中,对set names的作用如下表示:
SET NAMES 'x'语句与这三个语句等价:

  1. mysql> SET character_set_client = x
  2. mysql> SET character_set_results = x
  3. mysql> SET character_set_connection = x;  


看上去完美无缺,所有mysql涉及到的三种字符集都被修改了(客户端字符集,连接字符集,输出结果字符集)。但是为何还是不起作用?
通过跟踪PHP中mysql_real_escape_string的代码,发现他是直接调用了mysql提供的mysql_real_escape_string这个API:
 

  1. ulong STDCALL 
  2. mysql_real_escape_string(MYSQL *mysql, char *to,const char *from, 
  3.        ulong length) 
  4.   if (mysql->server_status & SERVER_STATUS_NO_BACKSLASH_ESCAPES) 
  5.     return (uint) escape_quotes_for_mysql(mysql->charset, to, 0, from, length); 
  6.   return (uint) escape_string_for_mysql(mysql->charset, to, 0, from, length); //这里使用的是struct mysql中的charset成员来作为判断当前字符集的 
  7. }  


从代码中可以看到它是通过mysql这个结构体中charset来判断当前使用的字符集设置的。而使用sql语句对mysql环境变量进行设置,无论如何设置,都无法改变客户端内存中mysql结构体的charset成员的值。

三、解决方案
因此,为了修改此结构体,从而使mysql_real_escape_string函数真正生效,只有通过PHP提供的mysql_set_charset或mysqli_set_charset函数来进行:
 

  1. int STDCALL mysql_set_character_set(MYSQL *mysql, const char *cs_name) 
  2.   struct charset_info_st *cs; 
  3.   const char *save_csdircharsets_dir
  4.  
  5.   if (mysql->options.charset_dir) 
  6.     charsets_dirmysql->options.charset_dir; 
  7.  
  8.   if (strlen(cs_name) < MY_CS_NAME_SIZE && 
  9.      (csget_charset_by_csname(cs_name, MY_CS_PRIMARY, MYF(0)))) 
  10.   { 
  11.     char buff[MY_CS_NAME_SIZE + 10]; 
  12.     charsets_dirsave_csdir
  13.     /* Skip execution of "SET NAMES" for pre-4.1 servers */ 
  14.     if (mysql_get_server_version(mysql) < 40100
  15.       return 0; 
  16.     sprintf(buff, "SET NAMES %s", cs_name); //set names语句 
  17.     if (!mysql_real_query(mysql, buff, (uint) strlen(buff))) 
  18.     { 
  19.       mysql->charsetcs; //修改了结构体的charset 
  20.     } 
  21.   } 


从代码中可以看出,这两个函数不仅仅执行了SET NAMES SQL语句,还增加了关键的一步:“mysql->charset= cs;”。 修改了mysql结构体中的charset为当前字符集,这样才能使mysql_real_escape_string真正起作用。
我们再来测试一下,修改上文测试代码中的:
$mysqli->query('SET NAMES gbk');
修改为:
$mysqli->set_charset('gbk');
然后再看看执行结果:
string(2) "縗"
string(3) "gbk"

成功执行,而client_encoding也变成了gbk,说明我们的mysql_real_escape_string函数真正按照预期起作用了。

四、扩展
通过以上方法的确可以解决此字符集转换注入问题,但是,mysqli_set_charset函数对PHP和Mysql有版本要求,必须当 mysql版本大于5,PHP版本大于5.0.5时,此函数才有效。至于另一个mysql_set_charset函数,则更要求PHP版本大于 5.2.3时才能有效。这对于某些环境下的老版本应用程序可能并不适用。
这里提供另一个解决方案,可以在Mysql 4.1以上版本有效(注:这也是Discuz当年用的方法)。使用:
SET character_set_client=binary;
当使用此语句时,将客户端连接设置为binary,则无论用户输入中是否有敏感字符,mysql在解析时,都只会将其当做二进制数据,而不会 当做转义字符或特殊字符处理,因此不会破坏sql语句。应用程序只需要在从mysql数据库取出数据后,在输出时按照当前字符集输出即可。

我们再来测试一下,修改上文测试代码中的:
$mysqli->query('SET NAMES gbk');
修改为:
$mysqli->query('SET character_set_client=binary;');
然后再看看执行结果:
string(3) "縗\"
string(6) "latin1"

可见虽然反斜杠被输入进了sql语句,但是并没有被当做转义字符处理。无法破坏sql语句结构,可以安全运行。
然而此方法也有另外的问题,比如上例中插入的数据就比正常插入的数据多出了一个反引号。而当使用like语句时,类似” like ‘%$_GET[‘user_input’]%’ ”这样的语句,如果当时的显示是gbk编码,而用户输入的是一个单字符,而此单字符又是gbk双字符编码中的一部分时,则此语句可能会匹配到非预期的内 容。此外,使用binary还可能会造成其他不可知的问题。

五、总结
希望各位在编写程序时,按照当时环境和需求,选择以上两种方式中的一种方式进行字符集数据库操作。通常情况下,我推荐使用 mysql_set_charset设置字符集的方案,只有在环境不允许的情况下,才推荐使用第二种binary编码的方案。但是无论在什么情况下,都禁 止使用”SET NAMES”来作为设置字符集的操作,因为从安全上说,这一设置根本没有起到任何作用。

标签分类:

上一篇: 使用MySQL字符串运算实施精巧化SQL注入攻击
下一篇:对asp防注入代码的分析