MySQL 注入的预防

MySQL作为目前最常见的数据库之一，在我们的日常开发过程中常常被用到。然而，MySQL在其使用过程中却也常常受到注入攻击。

MySQL注入攻击一般指的是黑客通过构造恶意输入，使MySQL执行意外的查询，从而达到窃取敏感信息、修改数据、破坏系统结构等攻击目的。解决MySQL注入问题的方法有很多，本篇文章将针对常见的几种MySQL注入漏洞进行介绍。

阅读更多：MySQL 教程

SQL注入攻击模式

在介绍如何预防MySQL注入之前，我们需要了解SQL注入的攻击模式。SQL注入攻击一般包括以下几种模式：

基于错误消息的SQL注入

在基于错误消息的SQL注入中，攻击者会通过输入错误信息来触发MySQL的错误处理机制，从而抓取到敏感信息。

例如，假设有如下代码：

SELECT * FROM user WHERE username = '$_POST["username"]';

攻击者可以通过输入如下内容来实现注入攻击：

' or 1=1;-- '

这样构造恶意输入后，SQL语句会变成：

SELECT * FROM user WHERE username = '' or 1=1;-- ';

这条SQL语句会被成功执行，因为“–”表示注释掉后面的内容。因此，攻击者有可能通过这种方式获取到敏感信息。

Boolean-based SQL注入

在基于Boolean的注入攻击中，攻击者会根据MySQL返回的结果，来获取敏感信息。

例如，在以下代码中：

SELECT * FROM users WHERE username='" . username . "' AND password='" .password . "'";

攻击者可以通过输入以下内容来实现注入攻击：

' or isnull((select * from users where username='administrator' and substring(password,1,1)='a')); -- '

这样构造恶意输入后，SQL语句会变成：

SELECT * FROM users WHERE username='' or isnull((select * from users where username='administrator' and substring(password,1,1)='a')); -- '' AND password='';

在这个查询语句中，我们通过在MySQL的查询语句中嵌入子查询，并利用系统返回的True / False结果来获取敏感信息。

时间基注入

时间基SQL注入是一种非常不同的注入攻击，它利用MySQL的错误处理机制，来推断不同条件之间的时间差，从而获取敏感信息。

例如，在以下代码中：

SELECT * FROM users WHERE username='" . username . "' AND password='" .password . "'";

攻击者可以通过输入如下内容来实现注入攻击：

' or if(length(password)=6,1,(select 1 union select 2));-- '

这样构造恶意输入后，SQL语句会变成：

SELECT * FROM users WHERE username='' or if(length(password)=6,1,(select 1 union select 2));-- '' AND password='';

在这条SQL语句中，通过在嵌入的子查询中返回不同的时间值，攻击者可以利用MySQL计算不同条件之间的时间差，从而获取敏感信息。

如何预防MySQL注入

在了解常见的MySQL注入模式后，我们需要知道如何预防这些攻击。以下是一些常见的预防方法：

对输入数据进行过滤

首先，我们可以对输入的数据进行过滤，以确保输入的数据符合预期。例如：

$username = mysqli_real_escape_string($db_handle, $_POST['username']);
$password = sha1(mysqli_real_escape_string($db_handle, $_POST['password']));

在这段代码中，我们使用了mysqli_real_escape_string函数来过滤输入的内容，该函数可以防止SQL注入。同时，我们还对密码进行了加密，以确保用户的密码信息不被黑客窃取。

控制用户输入范围

除了对输入的数据进行过滤外，我们还需要控制用户输入的范围。例如：

$stmt = $db_handle->prepare("SELECT * FROM users WHERE username=?");
$stmt->bind_param("s", $username);
$stmt->execute();

在这段代码中，我们使用了prepared statement来确保只有被预处理的SQL语句才会被执行。这种方法可以有效地防止SQL注入攻击。同时，我们对用户的输入范围进行了限制，只允许查询匹配用户名的记录。

不要将敏感信息存储在URL中

有些开发人员将敏感信息存储在URL中，这是一个非常不安全的做法。URL可能会被拦截，从而导致敏感信息泄露。例如：

http://www.example.com/user.php?name=admin&password=123456

在这个URL中，我们将敏感信息（用户名和密码）直接存储在URL中进行传输，这是非常危险的。攻击者可以通过拦截这个URL来获取敏感信息。

不要使用动态SQL语句

动态SQL语句容易受到SQL注入攻击。因此，我们应该尽量避免使用动态SQL语句，而是采用预处理语句（prepared statement）来防止SQL注入攻击。例如：

$stmt = $db_handle->prepare("SELECT name FROM users WHERE userid=?");
$stmt->bind_param("i", $userid);
$stmt->execute();

在这段代码中，我们使用了prepared statement来执行SELECT语句。这种方法可以通过绑定变量来避免使用动态SQL语句，从而有效地防止SQL注入攻击。

使用minidump或MySQL错误日志

在开发过程中，我们可以使用minidump或MySQL错误日志来记录SQL注入攻击。这样可以帮助我们更好地理解攻击者是如何攻击我们的系统的。例如：

$pattern = "/UNION.*SELECT/i";
if (preg_match($pattern, $query_string)) {
    error_log("SQL Injection Attack: " . $query_string);
}

在这个例子中，我们根据正则表达式来查找是否存在UNION SELECT语句。如果存在，则将其记录到错误日志中。这样可以帮助我们更好地了解攻击者是如何入侵我们的系统的。

总结

在本文中，我们介绍了MySQL注入攻击的几种模式，并提供了相应的预防方法。通过控制用户输入范围、对输入数据进行过滤、使用minidump或MySQL错误日志等方法，我们可以有效地预防SQL注入攻击。同时，我们还介绍了如何使用预处理语句来防止动态SQL语句引起的SQL注入攻击。作为开发人员，我们应该时刻关注SQL注入攻击的风险，并采取适当的措施来保护我们的系统。