PHP防SQL注入和XSS攻擊

摘要： 就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令.在用戶名輸入框中輸入:' or 1=1#,密碼隨便輸入，這時候的合成后的SQL查詢語句為“#”在mysql中是注釋符，這樣井號后面的內容將被mysql視為注釋內容，這樣就不會去執行了,...

就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令.在用戶名輸入框中輸入:' or 1=1#,密碼隨便輸入，這時候的合成后的SQL查詢語句為“#”在mysql中是注釋符，這樣井號后面的內容將被mysql視為注釋內容，這樣就不會去執行了,等價於

 

select * from users where username='' or 1=1   

防止SQL注入

<?php  
$field = explode(',', $data);  
array_walk($field, array($this, 'add_special_char'));  
$data = implode(',', $field);  
/** 
 * 對字段兩邊加反引號，以保證數據庫安全 
 * @param $value 數組值 
 */  
function add_special_char(&$value)  
{  
    if ('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos($value, '`')) {  
        //不處理包含* 或者 使用了sql方法。  
    } else {  
        $value = '`' . trim($value) . '`';  
    }  
    return $value;  
}  
  
/* 
函數名稱：inject_check() 
函數作用：檢測提交的值是不是含有SQL注入的字符,保護服務器安全 
參　　數：$sql_str: 提交的變量inject_check($id) { exit('提交的參數非法！'); 
返 回 值：返回檢測結果，true or false 
*/  
function inject_check($sql_str)  
{  
    return preg_match('/^select|insert|and|or|create|update|delete|alter|count|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i', $sql_str); // 進行過濾  
}  
  
//遞歸ddslashes  
function daddslashes($string, $force = 0, $strip = FALSE)  
{  
    if (!get_magic_quotes_gpc() || $force) {  
        if (is_array($string)) {  
            foreach ($string as $key => $val) {  
                $string [$key] = daddslashes($val, $force);  
            }  
        } else {  
            $string = addslashes($strip ? stripslashes($string) : $string);  
        }  
    }  
    return $string;  
}  
  
//遞歸stripslashes  
function dstripslashes($string)  
{  
    if (is_array($string)) {  
        foreach ($string as $key => $val) {  
            $string [$key] = $this->dstripslashes($val);  
        }  
    } else {  
        $string = stripslashes($string);  
    }  
    return $string;  
}  

 

CSRF攻擊(跨站請求偽造)原理比較簡單，如圖1所示。
其中Web A為存在CSRF漏洞的網站，Web B為攻擊者構建的惡意網站，User C為Web A網站的合法用戶。

1. 用戶C打開瀏覽器，訪問受信任網站A，輸入用戶名和密碼請求登錄網站A；
2.在用戶信息通過驗證后，網站A產生Cookie信息並返回給瀏覽器，此時用戶登錄網站A成功，可以正常發送請求到網站A；
3. 用戶未退出網站A之前，在同一瀏覽器中，打開一個TAB頁訪問網站B；
4. 網站B接收到用戶請求后，返回一些攻擊性代碼，並發出一個請求要求訪問第三方站點A；
5. 瀏覽器在接收到這些攻擊性代碼后，根據網站B的請求，在用戶不知情的情況下攜帶Cookie信息，向網站A發出請求。網站A並不知道該請求其實是由B發起的，所以會根據用戶C的Cookie信息以C的權限處理該請求，導致來自網站B的惡意代碼被執行。

網站A

<?php
session_start();
if (isset($_POST['toBankId']) && isset($_POST['money'])) {
    buy_stocks($_POST['toBankId'],　$_POST['money']);
}
?>

危險網站B

<html>  
<head>  
    <script type="text/javascript">  
        function steal() {  
            iframe = document.frames["steal"];  
            iframe.document.Submit("transfer");  
        }  
    </script>  
</head>  
　　  
<body onload="steal()">  
<iframe name="steal" display="none">  
    <form method="POST" name="transfer" action="http://www.myBank.com/Transfer.php">  
　　　　　<input type="hidden" name="toBankId" value="11">  
　　　　　<input type="hidden" name="money" value="1000">  
　  </form>  
</iframe>  
</body>  
</html>  

 

修復方式：1驗證碼 2檢測refer 3目前主流的做法是使用Token抵御CSRF攻擊 

 

XSS(跨站腳本)它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本.

當用戶點擊以上攻擊者提供的URL時，index.php頁面被植入腳本，頁面源碼如下：

<?php  
$name = $_GET['name'];  
echo "Welcome $name<br>";  
echo '<a href="http://www.cnblogs.com/bangerlee/">Click to Download</a>';  
?>  

這時，當攻擊者給出以下URL鏈接：

index.php?name=guest<script>alert('attacked')</script>   

當用戶點擊該鏈接時，將產生以下html代碼，帶'attacked'的告警提示框彈出：

Welcome guest  
<script>alert('attacked')</script>  
<br>  
<a href='http://www.cnblogs.com/bangerlee/'>Click to Download</a>  

跨站腳本的過濾RemoveXss函數

function RemoveXSS($val) {  
   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed  
   // this prevents some character re-spacing such as <java\0script>  
   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs  
   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);  
   // straight replacements, the user should never need these since they're normal characters  
   // this prevents like <IMG SRC=@avascript:alert('XSS')>  
   $search = 'abcdefghijklmnopqrstuvwxyz';  
   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';  
   $search .= '1234567890!@#$%^&*()';  
   $search .= '~`";:?+/={}[]-_|\'\\';  
   for ($i = 0; $i < strlen($search); $i++) {  
      // ;? matches the ;, which is optional  
      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars  
  
      // @ @ search for the hex values  
      $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;  
      // @ @ 0{0,7} matches '0' zero to seven times  
      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;  
   }  
  
   // now the only remaining whitespace attacks are \t, \n, and \r  
   $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');  
   $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');  
   $ra = array_merge($ra1, $ra2);  
  
   $found = true; // keep replacing as long as the previous round replaced something  
   while ($found == true) {  
      $val_before = $val;  
      for ($i = 0; $i < sizeof($ra); $i++) {  
         $pattern = '/';  
         for ($j = 0; $j < strlen($ra[$i]); $j++) {  
            if ($j > 0) {  
               $pattern .= '(';  
               $pattern .= '(&#[xX]0{0,8}([9ab]);)';  
               $pattern .= '|';  
               $pattern .= '|(&#0{0,8}([9|10|13]);)';  
               $pattern .= ')*';  
            }  
            $pattern .= $ra[$i][$j];  
         }  
         $pattern .= '/i';  
         $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag  
         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags  
         if ($val_before == $val) {  
            // no replacements were made, so exit the loop  
            $found = false;  
         }  
      }  
   }  
   return $val;  
}