最受欢迎

使用PDO参数化查询仍然可以破解sql注入

still got sql injection hacked using PDO parameterized query

本文关键字:破解 sql 注入 PDO 参数 查询 使用 | 更新日期: 2023-09-27

我继承了一个老的基于php的网站,不断被黑客攻击。根据我在这里找到的信息:我如何在PHP中防止SQL注入?,我使用PDO参数化查询更新了sql查询。我们上周又被黑客攻击了,看起来像是sql注入攻击。所有用户名都从用户表中删除,并用自己的信息替换。然后黑客就能进入管理部分网站和制造各种各样的破坏。

在参数化查询中怎么会发生这种情况?

查看下面的代码-我错过了什么?我将更改用于此查询的数据库登录的权限,以便只允许选择,但我真的想知道为什么

class pdoConnection
{ 
    var $conn;
    function pdoConnection()
    {               
        $this->createConnection();
    }
        function createConnection()
    {
        try
        {
            $dbConnection = new PDO('mysql:host=mysqlhostname.com;dbname=mydbname;charset=utf8', 
                    'dbusername', 'dbpassword',
                    array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));                   
            $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
            $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
            $dbConnection -> exec('SET NAMES utf8');
            $dbConnection -> exec('SET CHARACTER SET utf8');
            $this->conn =$dbConnection;
        }
        catch(PDOException $e)
        {
            die('Could not connect: ' .$e->getMessage(). "<br><br>");
        }
    }
    //  GET CONNECTION
    //  --------------------------------------------------------------------- 
    function getConnection() 
    {   
        return $this->conn;
    } 
} 
$login = htmlspecialchars($_REQUEST['login'], ENT_QUOTES, 'UTF-8');
$pass =  htmlspecialchars($_REQUEST['pass'], ENT_QUOTES, 'UTF-8');
$msg = '';

//check to see if there is a value
if($login == '' || $pass == '') {
    $error = 1;
    $msg = "Please enter a username and password.<br />";
} 
else 
{
    //try to validate
    $clsPDO = new pdoConnection();
    $con = $clsPDO->getConnection();
    $stmt = $con->prepare('SELECT * FROM users where userName = :login');
    $stmt->execute(array(':login' => $login)) or die($con->errorInfo());
    $row = $stmt->fetch();
    if (isset($row))
    {
        if( $pass == $row['userPassword']) {
            $required_login = $row['userName'];
            $required_pass = $row['userPassword'];
            $userLevel = $row['userLevelID'];
            $userName = $row['userName'];
            $userID = $row['userID'];
        }
        else 
        {
            $error = 1;
            $msg = "Your username/password did not match. Please check your entries and try again.";
        }
    }
    else 
    {
        //did not validate
        $error = 1;
        $msg = "Your username/password did not match. Please check your entries and try again.";
    }
}

我最近调查了一些关于这个主题的讨论和教程,我没有看到您的代码中有任何安全漏洞。您正在关闭模拟,将字符集设置为已知的安全字符集,并正确使用准备好的语句。话虽如此,我想到了两点:

  1. 您可以确认在数据库服务器上正在使用真正的预处理语句,而不是由PDO模拟。你告诉了它你想要的,但这和确认它确实发生了不太一样。字符集配置也是如此。你多次尝试正确设置它表明你不相信系统会听你的。从我对该功能历史的了解来看,这是非常可以理解的。

  2. 即使有人在你发布的代码中发现了漏洞,这似乎也不足以证明在这种情况下它被利用了。没有人指出漏洞并不意味着代码是安全的。因此,安全性似乎取决于进一步取证的方向,增加"下次"的日志记录,以及考虑替代攻击向量。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习