继续发老文档,这片是我09年分析PHP宽字节绕过addslashes等常用SQL注入过滤语句时写的分析文档。刚才发struts那篇文档,这篇一并发上来,充实一下PHP区的内容。
同样请各位注意,这篇文档的内容是09年的,当时甚至还有用PHP4的,可能有部分过时,查看时请注意分辨。
Author: wofeiwo#80sec.com
Date: 2009-7-28
一、背景
在日常的web程序编写过程中,经常需要处理字符集的问题。在PHP+Mysql的环境下,通常会使用SET NAMES来设定Mysql数据库当前所使用的字符集。
但是这就很容易造成一个问题:通过字符集转换进行注射攻击,通常这样的代码能够绕过PHP 函数addslashes或mysql_escape_string的过滤。因为addslashes、mysql_escape_string没有考虑到宽字符,一旦使用就会造成误过滤。能够被巧妙运用并造成SQL注射攻击。
因此,为了更好的安全性需要,我们需要使用脚本语言提供的real_escape_string API对用户输入到Mysql数据库中执行的语句或变量进行安全性的过滤。这是一个非常良好的习惯。Real_escape_string函数理论上会按照当前字符集的设置,有效处理单、宽字符,不放过任何一个敏感字符(如单引号,双引号,反斜线等)。但是,在现实的运用过程中,却常常并非如此。
让我们来看看如下一份代码。
<?php
$mysqli = new mysqli("localhost", "user", "pass", "test", 3306);
/* check connection */
if (mysqli_connect_errno()) {
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
$mysqli->query('SET NAMES gbk'); //使用set names设置字符集
$city = chr(0xbf).chr(0x5c); //0xbf5c是个有效的gbk字符,模拟用户输入
$city = $mysqli->real_escape_string ($city);//使用real_escape进行过滤
/* this query will fail, cause we didn't escape $city */
if (!$mysqli->query("INSERT into myCity(name) VALUES ('$city')")) {
print "INSERT into myCity (name) VALUES ('$city')\n";
printf("Error: %s\n", $mysqli->error);
}
var_dump($city);
var_dump($mysqli->client_encoding());
$mysqli->close();
?>
这份代码的结构很常见,它的执行结果如下:
INSERT into myCity (name) VALUES ('縗\')
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''縗\')' at line 1
string(3) "縗\"
string(6) "latin1"
我们可以看到,虽然使用SET NAMES设置了数据库的字符集,但是real_escape_string函数却没有起到他该有的作用:按照当前字符集,过滤敏感字符。反而还是和addslashes一样,一个字节一个字节过滤,使得“0xbf5c”(縗)被过滤成了“0xbf5c5c”(縗\)。从而转义了后面的单引号,破坏了sql语句。
二、原因
再仔细查看上面一段程序的结果。会发现mysql的client_encoding()函数返回的字符集是”latin1”。很明显,real_escape_string是按照了这个字符集对参数进行过滤,所以才导致了以上的这些问题。
在mysql手册中,对set names的作用如下表示:
SET NAMES 'x'语句与这三个语句等价:
mysql> SET character_set_client = x;
mysql> SET character_set_results = x;
mysql> SET character_set_connection = x;
看上去完美无缺,所有mysql涉及到的三种字符集都被修改了(客户端字符集,连接字符集,输出结果字符集)。但是为何还是不起作用?
通过跟踪PHP中mysql_real_escape_string的代码,发现他是直接调用了mysql提供的mysql_real_escape_string这个API:
ulong STDCALL
mysql_real_escape_string(MYSQL *mysql, char *to,const char *from,
ulong length)
{
if (mysql->server_status & SERVER_STATUS_NO_BACKSLASH_ESCAPES)
return (uint) escape_quotes_for_mysql(mysql->charset, to, 0, from, length);
return (uint) escape_string_for_mysql(mysql->charset, to, 0, from, length); //这里使用的是struct mysql中的charset成员来作为判断当前字符集的
}
从代码中可以看到它是通过mysql这个结构体中charset来判断当前使用的字符集设置的。而使用sql语句对mysql环境变量进行设置,无论如何设置,都无法改变客户端内存中mysql结构体的charset成员的值。
三、解决方案
因此,为了修改此结构体,从而使mysql_real_escape_string函数真正生效,只有通过PHP提供的mysql_set_charset或mysqli_set_charset函数来进行:
int STDCALL mysql_set_character_set(MYSQL *mysql, const char *cs_name)
{
struct charset_info_st *cs;
const char *save_csdir= charsets_dir;
if (mysql->options.charset_dir)
charsets_dir= mysql->options.charset_dir;
if (strlen(cs_name) < MY_CS_NAME_SIZE &&
(cs= get_charset_by_csname(cs_name, MY_CS_PRIMARY, MYF(0))))
{
char buff[MY_CS_NAME_SIZE + 10];
charsets_dir= save_csdir;
/* Skip execution of "SET NAMES" for pre-4.1 servers */
if (mysql_get_server_version(mysql) < 40100)
return 0;
sprintf(buff, "SET NAMES %s", cs_name); //set names语句
if (!mysql_real_query(mysql, buff, (uint) strlen(buff)))
{
mysql->charset= cs; //修改了结构体的charset
}
}
从代码中可以看出,这两个函数不仅仅执行了SET NAMES SQL语句,还增加了关键的一步:“mysql->charset= cs;”。 修改了mysql结构体中的charset为当前字符集,这样才能使mysql_real_escape_string真正起作用。
我们再来测试一下,修改上文测试代码中的:
$mysqli->query('SET NAMES gbk');
修改为:
$mysqli->set_charset('gbk');
然后再看看执行结果:
string(2) "縗"
string(3) "gbk"
成功执行,而client_encoding也变成了gbk,说明我们的mysql_real_escape_string函数真正按照预期起作用了。
四、扩展
通过以上方法的确可以解决此字符集转换注入问题,但是,mysqli_set_charset函数对PHP和Mysql有版本要求,必须当mysql版本大于5,PHP版本大于5.0.5时,此函数才有效。至于另一个mysql_set_charset函数,则更要求PHP版本大于5.2.3时才能有效。这对于某些环境下的老版本应用程序可能并不适用。
这里提供另一个解决方案,可以在Mysql 4.1以上版本有效(注:这也是Discuz当年用的方法)。使用:
SET character_set_client=binary;
当使用此语句时,将客户端连接设置为binary,则无论用户输入中是否有敏感字符,mysql在解析时,都只会将其当做二进制数据,而不会当做转义字符或特殊字符处理,因此不会破坏sql语句。应用程序只需要在从mysql数据库取出数据后,在输出时按照当前字符集输出即可。
我们再来测试一下,修改上文测试代码中的:
$mysqli->query('SET NAMES gbk');
修改为:
$mysqli->query('SET character_set_client=binary;');
然后再看看执行结果:
string(3) "縗\"
string(6) "latin1"
可见虽然反斜杠被输入进了sql语句,但是并没有被当做转义字符处理。无法破坏sql语句结构,可以安全运行。
然而此方法也有另外的问题,比如上例中插入的数据就比正常插入的数据多出了一个反引号。而当使用like语句时,类似” like ‘%$_GET[‘user_input’]%’ ”这样的语句,如果当时的显示是gbk编码,而用户输入的是一个单字符,而此单字符又是gbk双字符编码中的一部分时,则此语句可能会匹配到非预期的内容。此外,使用binary还可能会造成其他不可知的问题。
五、总结
希望各位在编写程序时,按照当时环境和需求,选择以上两种方式中的一种方式进行字符集数据库操作。通常情况下,我推荐使用mysql_set_charset设置字符集的方案,只有在环境不允许的情况下,才推荐使用第二种binary编码的方案。但是无论在什么情况下,都禁止使用”SET NAMES”来作为设置字符集的操作,因为从安全上说,这一设置根本没有起到任何作用。