我继承了一个老的基于php的网站,不断被黑客攻击。根据我在这里找到的信息:我如何在PHP中防止SQL注入?,我使用PDO参数化查询更新了sql查询。我们上周又被黑客攻击了,看起来像是sql注入攻击。所有用户名都从用户表中删除,并用自己的信息替换。然后黑客就能进入管理部分网站和制造各种各样的破坏。
在参数化查询中怎么会发生这种情况?
查看下面的代码-我错过了什么?我将更改用于此查询的数据库登录的权限,以便只允许选择,但我真的想知道为什么
class pdoConnection
{
var $conn;
function pdoConnection()
{
$this->createConnection();
}
function createConnection()
{
try
{
$dbConnection = new PDO('mysql:host=mysqlhostname.com;dbname=mydbname;charset=utf8',
'dbusername', 'dbpassword',
array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$dbConnection -> exec('SET NAMES utf8');
$dbConnection -> exec('SET CHARACTER SET utf8');
$this->conn =$dbConnection;
}
catch(PDOException $e)
{
die('Could not connect: ' .$e->getMessage(). "<br><br>");
}
}
// GET CONNECTION
// ---------------------------------------------------------------------
function getConnection()
{
return $this->conn;
}
}
$login = htmlspecialchars($_REQUEST['login'], ENT_QUOTES, 'UTF-8');
$pass = htmlspecialchars($_REQUEST['pass'], ENT_QUOTES, 'UTF-8');
$msg = '';
//check to see if there is a value
if($login == '' || $pass == '') {
$error = 1;
$msg = "Please enter a username and password.<br />";
}
else
{
//try to validate
$clsPDO = new pdoConnection();
$con = $clsPDO->getConnection();
$stmt = $con->prepare('SELECT * FROM users where userName = :login');
$stmt->execute(array(':login' => $login)) or die($con->errorInfo());
$row = $stmt->fetch();
if (isset($row))
{
if( $pass == $row['userPassword']) {
$required_login = $row['userName'];
$required_pass = $row['userPassword'];
$userLevel = $row['userLevelID'];
$userName = $row['userName'];
$userID = $row['userID'];
}
else
{
$error = 1;
$msg = "Your username/password did not match. Please check your entries and try again.";
}
}
else
{
//did not validate
$error = 1;
$msg = "Your username/password did not match. Please check your entries and try again.";
}
}
我最近调查了一些关于这个主题的讨论和教程,我没有看到您的代码中有任何安全漏洞。您正在关闭模拟,将字符集设置为已知的安全字符集,并正确使用准备好的语句。话虽如此,我想到了两点:
-
您可以确认在数据库服务器上正在使用真正的预处理语句,而不是由PDO模拟。你告诉了它你想要的,但这和确认它确实发生了不太一样。字符集配置也是如此。你多次尝试正确设置它表明你不相信系统会听你的。从我对该功能历史的了解来看,这是非常可以理解的。
-
即使有人在你发布的代码中发现了漏洞,这似乎也不足以证明在这种情况下它被利用了。没有人指出漏洞并不意味着代码是安全的。因此,安全性似乎取决于进一步取证的方向,增加"下次"的日志记录,以及考虑替代攻击向量。