MySQL注入的意图是接管网站数据库并窃取信息。 常见的开源数据库, 如MySQL, 已经被许多网站开发人员用来储存重要信息, 如密码, 个人信息和管理信息。
MySQL之所以流行, 是因为它与最流行的服务器端脚本语言PHP一起使用。 而且, PHP是主导互联网的Linux- Apache服务器的主要语言。 因此, 这意味着黑客可以很容易地利用PHP就像Windows的间谍软件一样。
黑客向一个无担保的网页表单输入大量恶意代码(通过下拉菜单, 搜索框, 联系表单, 查询表单和复选框)。
恶意代码将被送到MySQL数据库, 然后“注入”。 要查看这个过程, 首先考虑以下基本的MySQL SELECT查询语句:
SELECT * FROM xmen WHERE username = 'wolverine'
此查询会向有“xmen”表的数据库要求返回某一段MySQL中用户名为“wolverine”的数据。
在Web表单中, 用户将输入wolverine, 然后这些数据将被传到MySQL查询。
如果输入无效, 黑客还有其他方法控制数据库, 如设置用户名:
' OR ''=''
你可能认为使用正常的PHP和MySQL句法执行输入是安全的, 因为每当有人输入恶意代码, 他们将会得到一个“无效的查询”的消息, 但事实并非如此。 黑客很聪明, 且因为涉及数据库清理和重设管理权限, 任何一个安全漏洞都不容易纠正。
两种对MySQL注入攻击的常见误解如下:
1.网管认为恶意注入可用防病毒软件或反间谍软件清理。 事实是, 这种类型的感染利用了MySQL数据库的弱点。 它不能简单地被任何反间谍软件或防病毒程序删除。
2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。 事实并非如此。 这种类型的感染是由于有人将恶意代码输入到网站不受保护表单, 然后访问数据库。 MySQL注入可通过删除恶意脚本清除掉, 而不是使用防病毒程序。
用户输入验证流程
备份一个清洁的数据库, 并放置在服务器外。 输出一套MySQL表并保存在桌面。
然后转到服务器, 先暂时关闭表单输入。 这意味着表单不能处理数据, 网站被关闭了。
然后启动清理进程。 首先, 在您的服务器上, 清理遗留的混乱的MySQL注入。 更改所有的数据库, FTP和网站的密码。
在最坏的情况下, 如果你清理迟了, 你可以再次检查在您服务器上运行的隐藏程序。 这些隐藏程序是黑客安装的木马。 将其完全删除并更改所有FTP权限。 扫描服务器上所有木马程序和恶意软件。
当您修改PHP脚本程序时, 将处理表单数据。 防止MySQL注入的一个好办法是:连用户数据也不信任。 用户输入验证对于防止MySQL注入是相当重要的。
设计一个过滤器筛选出用户输入, 以下是几点提示:
1.输入到表单的是数字。 你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。
2.如果是Email地址。 验证其是否由允许的字符组合构成, 如“ @ ” , A-Z,a-z或一些数字。
3.如果是人名或用户名。 可以通过是否包含任何非法字符验证它, 如and和*,是可用于SQL注入的恶意字符。 验证数字输入
下面的脚本验证了是否输入一个从0.001至无限大的有效数字。 值得一提的是, 在一个PHP程序中, 甚至可以允许使用一定范围内的数字。 使用此验证脚本可确保输入到表单的只是一个数字。
假设在程序中有三个数字变量;您需要将它们进行验证, 我们将它们命名num1 , num2和num3:
| //Validate numerical input if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001) { } else { } ?> |
这可以用来验证一个只接受数字的表单, 如合同数量, 许可证号码, 电话号码等。
验证文字和邮件地址的输入
以下可以用于验证诸如用户名, 名字以及电子邮件地址的表单输入:
| //Validate text input if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name'])) { } else if ($empty==0) { } else { } ?> |
