`
月影无痕
  • 浏览: 1008864 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

PHP 5.3.6及以前版本的PDO的bindParam,bindValue潜在的安全隐患

 
阅读更多

 

PHP 5.3.6及以前版本的PDObindParam,bindValue潜在的安全隐患

 

使用PDO的参数化查询时,可以使用bindParam,bindValue为占位符绑定相应的参数或变量, 我们往往使用如下格式

$statement->bindParam(1, $string);

$statement->bindParam(2, $int, PDO::PARAM_INT);

 

我在以前的文章中分析介绍过PDOATTR_EMULATE_PREPARES属性对PDO底层协议与MySQL Server通讯机制影响:

1. 默认情况下,PDO会使用DSN中指定的字符集对输入参数进行本地转义(PHP手册中称为native prepared statements),然后拼接成完整的SQL语句,发送给MySQL Server。这有些像我们平时程序中拼接变量到SQL再执行查询的形式。

 

这种情况下,PDO驱动能否正确转义输入参数,是拦截SQL注入的关键。然而PHP 5.3.6及老版本,并不支持在DSN中定义charset属性(会忽略之),这时如果使用PDO的本地转义,仍然可能导致SQL注入,解决办法后面会提到。

 

 

2. MySQL Server 5.1开始支持prepare预编译SQL机制,即SQL查询语句与参数分离提交,但这个特性需要客户端协议支持支持,目前所有版本的PHP均支持。
如果PDO客户端使用mysql Serverprepare功能,大致的交互过程是:
A. PDOSQL模板发送给mysql server, SQL模板即包含参数占位符(问号或命名参数)的SQL语句

B. PDO不对输入参数作任何转义处理,将参数的位置,值,类型等等信息发送给MySQL Server

C. PDO客户端调用execute statement

D. MySQL Server B步骤提交的参数进行内部转义,并执行查询,返回结果给客户端。

看到没有,如果使用了mysql server prepare功能,则字符串的转义是由MySQL Server完成的。mysql会根据字符集(set names <charset>)对输入参数转换,确保没有注入产生。

 

PDO默认情况下使用了本地模拟prepare(并未使用MySQL serverprepare,如果要禁止PDO本地模拟行为而使用MySQL Serverprepare机制,则需要设置PDO的参数:

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);

如果你使用了PHP 5.3.6及以前版本,强烈推荐使用上述语句加强安全性。

如果你使用PHP 5.3.6+, 则请在DSN中指定 charset,是否设置上述参数,都是安全的。

 

好了,现在步入正题,假设有以下代码逻辑:

 

$pdo = new PDO("mysql:host=localhost;dbname=test;charset=utf8",'root','');

$pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);

$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE,PDO::FETCH_ASSOC);

 

$pdo->exec('set names utf8');

 

$id = '0 or 1 =1 order by id desc';

 

$sql = "select * from article where id = ?";

 

$statement = $pdo->prepare($sql);

$statement->bindParam(1, $id, PDO::PARAM_INT);

 

$statement->execute();

 

假设$id是外部变量(由其它函数传递,或用户提交),我们也没有使用intval对这两个参数进行强制类型转换(我们认为使用PDO绑定参数时已经指定参数类型为INT, PDO::PARAM_INT),期待PDO能使用我们指定的类型对其进行转义,但是事实上呢?却有太多不确定因素:

 

1. 以上代码实测在PHP 5.2.1造成了SQL注入

2. 以上代码在PHP 5.3.9下,没有造成任何SQL注入

那么,如果使用了存在bugPHP版本,那么如何从根本上解决这个问题?

1. 设置PDO不使用本地模拟prepare, $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);

 

这样,即使不使用intval对输入进行转换,也可以确保是安全的。如果由于程序员遗忘没有使用intval转换,那么还是存在安全隐患的。

 

使用这种方式,更彻底,更安全。

 

 

 

1
0
分享到:
评论
2 楼 月影无痕 2013-11-05  
bngoogle 写道
你好。我测试了下,测试环境是php5.2.14版本的。按照你的范例,并不会发生注入


以下代码在 php 5.3.6及以前版本,会产生注入:
<?php


$pdo = new PDO("mysql:host=127.0.0.1;dbname=test;charset=gbk","root");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, true);

$var =  chr(0x27) . chr(0xbf) . chr(0x27) . " OR 9=9 ";
$var = urldecode('%bf%27%20OR%205%3D5%20%23');

echo addslashes($var);


$query = "SELECT * FROM info WHERE username = ?";

$stmt = $pdo->prepare($query);

$stmt->execute(array($var)); 


$r = $stmt->fetch();
1 楼 bngoogle 2013-07-24  
你好。我测试了下,测试环境是php5.2.14版本的。按照你的范例,并不会发生注入

相关推荐

    php5.3.6-x64

    **PHP 5.3.6 x64 版本详解** PHP(PHP:Hypertext Preprocessor)是一种广泛使用的开源脚本语言,尤其适合于Web开发,并可嵌入到HTML中。PHP 5.3.6是该语言的一个重要版本,专为64位Windows系统设计,提供更强大的...

    php5.3.6 window压缩版

    PHP 5.3.6是PHP的一个重要版本,专为Windows平台设计,提供了在Windows操作系统上运行PHP应用程序的能力。此版本发布于2011年,包含了许多改进和修复,旨在提升性能、安全性和稳定性。以下是对这个压缩包中包含的...

    PHP最新版5.3.6

    PHP 5.3.6是该语言的一个重要版本,它在5.3系列中提供了一些改进和新特性,以增强性能和稳定性。这个版本是为Windows操作系统编译的,具体为Win32平台,使用Visual C++ 6 (VC6) 编译器,并且是针对x86架构的32位系统...

    php 5.3.6 x64 64位 PHP X64 64位

    PHP 5.3.6是PHP的一个重要版本,尤其对于64位系统用户而言,它提供了对64位计算环境的全面支持。这个版本在2011年发布,是PHP 5.x系列中的一个稳定分支,包含了多项改进和新特性。 首先,PHP 5.3引入了命名空间...

    php-5.3.6 安装包

    php-5.3.6 安装包,不知道有没有用

    php-5.3.6-x64.zip

    描述 "php-5.3.6-nts-Win32-VC9-x64.zip" 提供了更具体的信息,表明这是非线程安全(NTS)版本的PHP,适用于Win32平台,且是使用Visual C++ 9编译器构建的。"PHP 64" 标签进一步确认了该版本的PHP是64位架构。 从...

    redis php client 支持 php 5.3.6

    描述中提到的“php_redis.dll 版本:2.1.3”是这个扩展的一个特定版本,它兼容并优化了对PHP 5.3.6的支持。 PHP 5.3.6是一个较旧的PHP版本,发布于2012年,包含了一些关键的改进和修复。在那个时期,PHP社区对旧...

    centos5.5(5.6)最新lnmp安装步骤(php5.3.6+ng1.0.0+mysql5.5.12)

    在探讨CentOS 5.5(或5.6)上最新LNMP(Linux, Nginx, MySQL, PHP)环境的安装步骤时,我们聚焦于特定版本:PHP 5.3.6、Nginx 1.0.0以及MySQL 5.5.12。以下是对这些组件安装流程的深入解析,旨在为系统管理员和...

    (Win64) Apache/2.2.19 PHP/5.3.6 memcached/2.2.6

    标题 "(Win64) Apache/2.2.19 PHP/5.3.6 memcached/2.2.6" 暗示了这个压缩包包含了一套在Windows 64位系统上运行的Web服务器环境,具体由Apache 2.2.19版本、PHP 5.3.6版本和memcached 2.2.6版本组成。这些组件是...

    php_redis.dll for php 5.3.6

    php_redis.dll for php 5.3.6

    php5.3.6+apache2.2

    PHP 5.3.6是PHP的一个旧版本,但它依然支持许多常用功能。下载并安装PHP,然后配置其与Apache的集成: 1. 下载PHP源代码包,解压后进入目录,执行`./configure --with-apxs2=/usr/bin/apxs --enable-mbstring --...

    apache2.2.19和php5.3.6配置

    - **PHP**:[官方网站](https://www.php.net/downloads.php) - 下载页面提供了多个版本,确保选择与 Apache 兼容的 PHP 版本,并选择线程安全的版本。 #### 三、安装 Apache 安装 Apache 需要遵循以下步骤: 1. *...

    Windows7下Apache+PHP5.3.6_安装配置.txt

    2. **选择线程安全版本**:对于 Windows,建议下载 Thread Safe 版本(如 `php-5.3.6-Win32-VC9-x86.zip`)。 3. **解压安装**:将下载的 ZIP 文件解压到指定目录,例如 `E:\PHP\php5`。 4. **配置 PHP**:编辑 `E:\...

    php-5.3.6-Win32-VC9-x64

    在本文中,我们将详细探讨标题为“php-5.3.6-Win32-VC9-x64”的软件包,它是专门为Windows 7 64位操作系统设计的PHP版本。这个版本是基于VC9编译器构建的,确保了与Windows系统更好的兼容性和性能。 一、PHP 5.3.6...

    mysql ODBC 5.3.6 64位

    MySQL ODBC 5.3.6 64位是一个用于Windows操作系统的数据库连接驱动程序,它允许应用程序通过ODBC(Open Database Connectivity)接口与MySQL服务器进行通信。ODBC是微软提出的一种标准,使得不同的数据库系统可以被...

    hibernate-release-5.3.6

    《深入理解Hibernate框架:以hibernate-release-5.3.6版本为例》 Hibernate,一个广受欢迎的Java持久化框架,是Java开发者在处理数据库交互时的强大工具。本文将聚焦于hibernate-release-5.3.6版本,探讨其核心特性...

    hibernate-release的5.0.7版本和最新的5.3.6版本

    本文将详细探讨Hibernate 5.0.7和5.3.6这两个版本之间的差异,以及它们各自的特点。 在 Hibernate 5.0.7 版本中,这是一个相对稳定且广泛使用的版本。该版本主要提供了以下关键特性: 1. 改进了对JPA 2.1规范的支持...

    php-5.3.6-Win32-VC9-x86.part6

    最新的php安装php-5.3.6-Win32-VC9-x86.part6

    UnityWebPlayer5.3.6离线安装包

    6. **安全注意事项**: 任何下载和安装软件时,都应确保来源可靠,避免潜在的安全风险。安装离线包前,用户应该检查文件的完整性,确保未被篡改或包含恶意软件。 7. **兼容性问题**: UnityWebPlayer可能不兼容所有的...

    PHP多平台云主机聚合IDC代理整合平台网站源码 最新PHP5.3.6

    正式版需要PHP5.6及以上版本支持 ,MySQL5.0以上版本支持 推荐使用客客官方提供的集成开发套件(KKServ集成安装包 )以达到最佳使用性能。 Linux/Unix 平台 正式版需要PHP5.6及以上版本支持 ,MySQL5.0以上版本...

Global site tag (gtag.js) - Google Analytics