【 摘 要 】 隨著互聯(lián)網(wǎng)+時代的到來，中小企業(yè)網(wǎng)站雨后春筍，考慮成本和建站周期，一般都是基于Apache+PHP+Mysql架構(gòu)。越來越多的網(wǎng)絡訪問通過Web界面進行操作，Web安全已經(jīng)成為互聯(lián)網(wǎng)安全的一個熱點，基于Web的攻擊廣為流行，SQL注入、跨站腳本等Web應用層漏洞的存在使得網(wǎng)站淪陷、頁面篡改、網(wǎng)頁掛馬等攻擊行為困擾著網(wǎng)站管理者并威脅著網(wǎng)站以及直接用戶的安全。論文就SQL注入作一些歸納總結(jié)。

【 關(guān)鍵詞 】 網(wǎng)站；SQL；注入防護

【 中圖分類號 】 TP392

【 文獻標識碼 】 A

Based on the Apache+PHP+Mysql SQL Injection Site Protection to Discuss

Li Jun-feng

（Zigui County Human Resources and Social Security Information Center HubeiYichang 443600）

【 Abstract 】 With the advent of the era of Internet+， websites of small and medium-sized enterprises sprung up. Considering the cost and build cycle， they are generally based on Apache+PHP+Mysql architecture. More and more network access via a Web interface. Web security has become a focus of the Internet security. Web-based attack is popular.The Existence of The Web application layer holes such as SQL injection and cross-site scripting vulnerabilities has been affecting website managers and threatening the safety of site and direct user.They make website fall， tampered with， Web page hang a horse. Engaged in small and medium-sized website development and construction management for many years， accumulated certain experience，this article will make a few generalizations for SQL injection. For reference only.

【 Keywords 】 website； sql； injection protection

1 引言

SQL注入技術(shù)是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，提交精心構(gòu)造的數(shù)據(jù)庫語句，使其反饋一些有用的數(shù)據(jù)，去欺騙數(shù)據(jù)庫，最終達到欺騙服務器執(zhí)行惡意的SQL命令。假如只有Web服務器的話，是沒法進行的。

2 SQL注入形式

常用的SQL注入手法有兩種：一種是猜測，讓數(shù)據(jù)庫暴出用戶名、密碼等信息；另一種直接繞過認證，取得權(quán)限。相對應防護，就必須禁止特殊數(shù)據(jù)的提交或?qū)⑻厥馓峤坏臄?shù)據(jù)修改。

3 Apache+PHP+Mysql架構(gòu)網(wǎng)站威脅風險等級

高風險：跨站腳本攻擊、拒絕服務。

中風險：內(nèi)容欺騙、信息泄露、遠程信息泄露、資源位置可預測。

其它（應用）風險：安全配置錯誤、不安全的加密存儲、沒有限制URL訪問、敏感數(shù)據(jù)泄露、缺乏功能層次的訪問控制。

4 常見SQL注入漏洞及防護對策。

4.1 客戶端攻擊類型

4.1.1 跨站腳本攻擊

指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息或在終端用戶系統(tǒng)上執(zhí)行惡意代碼。 本漏洞屬于Web應用安全常見漏洞，跨站腳本攻擊所帶來的主要問題包括賬號劫持、惡意腳本執(zhí)行、蠕蟲傳播、信息竊取、拒絕服務、瀏覽器重新定向、控制用戶設置。

推薦措施：實施安全編程技術(shù)，確保正確過濾用戶提供的數(shù)據(jù)，防以可執(zhí)行的格式向終端用戶發(fā)送注入的腳本。 對于開發(fā)應用，要盡可能使用嚴格測試發(fā)布的模版。

4.1.2 內(nèi)容欺騙

參數(shù)污染漏洞。HTTP參數(shù)污染攻擊指的是攻擊者在請求中構(gòu)造多個參數(shù)名相同的參數(shù)，由于不同的服務器端腳本語言在處理相同參數(shù)名的參數(shù)時，可能選用的參數(shù)值與參數(shù)的先后順序有關(guān)。 應對措施：對于輸入?yún)?shù)為字符串類型的參數(shù)，校驗參數(shù)值中是否包含可用于分割參數(shù)的分隔符，比如& 、%等。

點擊劫持。這是一種視覺上的欺騙手段。攻擊者使用一個透明的、不可見的iframe，覆蓋在一個網(wǎng)頁上，然后誘使用戶在該網(wǎng)頁上進行操作，此時用戶將在不知情的情況下點擊透明的iframe頁面。防護措施：修改Web服務器配置，添加X-Frame-Options響應頭。

賦值有三種。（1）DENY：不能被嵌入到任何iframe或者frame中；（2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中；（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。apache可配置http.conf。

不安全的HTTP方法。目標Web服務器配置成允許一個（或多個）HTTP 方法（DELETE、SEARCH、COPY、MOVE等）。這些方法允許客戶端操縱服務器上的文件，有可能允許未授權(quán)的用戶對其進行利用，修改服務器上的文件，要嚴格訪問權(quán)限，如認證方法，認證需要的用戶名、密碼。

4.2 邏輯攻擊類型：拒絕服務

PHP Web表單哈希沖突拒絕服務漏洞。PHP是英文超級文本預處理語言，查閱PHP官方資料，PHP 5.4之前版本在計算表單參數(shù)哈希值的實現(xiàn)上沒有提前限制哈希沖突，存在拒絕服務漏洞，通過發(fā)送小量的特制Webform表單張貼到受影響應用程序，攻擊者可利用此漏洞導致使用PHP的站點失去響應正常請求的能力。

PHP multipart/form-data 遠程DOS漏洞。PHP解析multipart/form-data http請求的Body Part請求頭時，重復拷貝字符串導致DOS。遠程攻擊通過發(fā)送惡意構(gòu)造的multipart/form-data請求，導致服務器CPU資源被耗盡，從而遠程DOS服務器。

目前PHP已經(jīng)發(fā)布了升級補丁以修復這類安全問題。

4.3 信息泄露類型

數(shù)據(jù)庫服務敏感信息泄露。由于Web應用程序沒有正確處理用戶輸入和處理數(shù)據(jù)庫異常導致頁面信息中包含數(shù)據(jù)庫錯誤信息，通過數(shù)據(jù)庫錯誤信息可以得知后臺數(shù)據(jù)庫類型，甚至數(shù)據(jù)庫結(jié)構(gòu)，為進一步SQL注入攻擊提供有利信息。開發(fā)采用安全編程方法捕獲數(shù)據(jù)庫異常，不要顯示數(shù)據(jù)庫服務器錯誤信息，有效過濾用戶輸入，限定數(shù)據(jù)類型，定義接收數(shù)據(jù)的最長和最短長度。

資源位置可預測泄露。較低的安全保護，攻擊者可以通過該文件獲取敏感信息或者進入網(wǎng)站后臺，進行惡意操作。加強訪問此類文件的認證和使用安全，刪除修改為不可預測的文件名目標Web應用表單密碼泄露。密碼類型輸入啟用了自動完成操作，如果密碼類型Input標簽的“autocomplete”屬性值為“on”，或者“autocomplete”屬性未設置，則認為存在漏洞。因此，腳步本增加。

基于HTTP連接的登錄請求泄露。目標應用程序使用HTTP連接接受客戶端的登錄請求，如果登錄請求數(shù)據(jù)沒有加密處理，有可能被攻擊者嗅探到客戶端提交的請求數(shù)據(jù)，請求數(shù)據(jù)中一般包含用戶名和密碼，導致信息泄露。

PHPinfo（）函數(shù)信息及PHP錯誤信息泄漏。PHPinfo（）函數(shù)返回服務器的配置信息，應用本身存在問題或者發(fā)送請求時提交的參數(shù)不合法導致PHP錯誤信息（包含錯誤發(fā)生的位置、路徑和文件），這些敏感信息會幫助攻擊者展開進一步的攻擊。對于開發(fā)人員，增強錯誤處理和參數(shù)檢查。 修改服務器的PHP配置的參數(shù)display_errors=Off， 限制對PHPinfo（）函數(shù)的調(diào)用。

4.4 PHP配置帶來的風險

allow_url_fopen。該指令開啟允許從遠程位置（網(wǎng)站或FTP服務器）進行數(shù)據(jù)檢索。結(jié)合其它漏洞可被利用來進行遠程文件包含攻擊。在PHP.ini或.htaccess文件中禁用allow_url_fopen。

display_errors。該指令開啟時，當用戶瀏覽網(wǎng)站時，如果PHP出現(xiàn)內(nèi)部錯誤，會將錯誤信息返回到瀏覽器。這些信息通常包含您的Web應用程序的敏感信息。在PHP.ini或htaccess文件中禁用display_errors。

open_basedir。該指令設置可以限制PHP只能打開指定目錄樹中的文件，如果文件不在指定的目錄下，PHP將拒絕打開它。open_basedir能很好地保護來自遠程文件包含漏洞的攻擊，對目錄遍歷攻擊也能起到一定的防范。在PHP.ini文件中配置： open_basedir = your_application_directory。

cookie中HttpOnly屬性。缺少則認為存在漏洞，在PHP.ini中設置session.cookie_httponly =1或PHP代碼中加入。

4.5 Web應用漏洞風險

主要是存在應用程序測試用例、目標服務器存在系統(tǒng)路徑信息泄露、存在用戶名或者密碼信息泄露等。這些要所根據(jù)實際應用情況判定和處理。

5 結(jié)束語

SQL注入是一件頭痛的事。避免SQL注入漏洞，要從源頭起，對網(wǎng)站開發(fā)的關(guān)鍵人員進行安全編碼方面的培訓，在開發(fā)過程就避免漏洞的引入能起到事半功倍的效果。

參考文獻

[1] 黃慧芳.PHP+MySQL項目開發(fā)權(quán)威指南[M].北京：中國鐵道出版社，2013.

[2] 列旭松.PHP核心技術(shù)與最佳實踐[M].北京：機械工業(yè)出版社，2013.

[3] 錢雪.MySQL數(shù)據(jù)庫技術(shù)與實驗指導[M].北京：清華大學出版社，2012.

[4] 王曼.設計動態(tài)網(wǎng)站的最佳組合：Apache+PHP+MySQL[J].電子制作，2014，7X，p82.

作者簡介：

李俊鋒（1969-），男，湖北秭歸人，?？?，計算機工程師，從事人力資源和社會保障信息化規(guī)劃建設；主要研究方向和關(guān)注領(lǐng)域：大型數(shù)據(jù)庫管理應用、中小網(wǎng)站開發(fā)建設管理。