从最早国内angel介绍的
《SQL Injection with MySQL》
&
《Advanced SQL Injection with MySQL》
这两篇文章开始,PHP+MySQL注入就一直停留在UNION Select的基石上建立起来的。可Union select作为SQL Inj的方法,一直都有很多限制,比如需要猜字段数、猜表名,非select语句就无法使用union,注入点在order by或者group by语句后就很难进行操作,盲注比较复杂等等问题。
可为什么非要使用union select?除了当年MySQL 3.x不支持子查询查询数据之外,主要原因,在实践中发现注射中同样不能像mssql一样用分号来分割执行多个sql语句。为什么?因为PHP的MySQL,MySQLi扩展,都因为安全原因,在connect的时候,都不允许设置CLIENT_MULTI_STATEMENTS, 哪怕你手工在connect的时候设置了这个flag,php在源代码级别,仍然会帮你去除掉 :
而是不是PHP就完全无法使用多语句执行呢?答案是否,利用mysqli_multi_query就可以执行多语句,但是现实应用中基本没有人会用这个语句。而另一个常被程序员所使用的PDO方式操作数据库,情况又如何?
测试了一下,果然,以上这些多语句,在PDO的情况下,安然执行了。果断查找PHP源代码:
果然,
PHP源代码默认支持了多语句执行特性,已经在mysqlnd这个driver中定义了多语句执行的参数
。
要知道,现在 多数PHP的编程框架为了支持多数据库类型,基本都会使用PDO作为底层数据库连接方式 。这意味着什么?意味着在PDO的环境中,注入点是什么类型(insert,update,delete,select)已经不重要了,注入点在语句的什么位置也不重要了(table,where,orderby),一切可能性都重现了,mysql功能突然全开放在我们面前,都可以利用多语句的方式,重新构造我们所需要的sql语句。
那是否利用PDO使用这个就完全没有限制了呢?当然也不是。首先,一般框架使用PDO作为数据库连接,常用的数据库操作,都是使用参数绑定或者prepare的方式,进行参数绑定的。而在默认情况下,这种参数绑定是在php客户端进行的,在这种情况下,是不允许多语句的。只有如下方法:
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);
才可以利用prepare执行多语句(因为参数绑定是在server端执行),而这种状况非常少见。
所以, 真正可以利用的多语句注射,只能是存在于利用PDO连接数据库,并直接使用exec或者query函数进行执行sql语句的地方。
可为什么非要使用union select?除了当年MySQL 3.x不支持子查询查询数据之外,主要原因,在实践中发现注射中同样不能像mssql一样用分号来分割执行多个sql语句。为什么?因为PHP的MySQL,MySQLi扩展,都因为安全原因,在connect的时候,都不允许设置CLIENT_MULTI_STATEMENTS, 哪怕你手工在connect的时候设置了这个flag,php在源代码级别,仍然会帮你去除掉 :
php-5.3.8/ext/mysqli/mysqli_nonapi.c
/* set some required options */
flags |= CLIENT_MULTI_RESULTS;
/* needed for mysql_multi_query() */
/* remove some insecure options */
flags &= ~CLIENT_MULTI_STATEMENTS; /* don't allow multi_queries via connect parameter */
而没有这个特殊的设置,MySQL是不允许在一个mysql_query中使用分号执行多语句的。于是,这也就是长久以来,大家都认为mysql是不允许多语句执行的根本原因。实际上这恰恰是个错误的认识,
实际
上mysql早在4.1版本就允许多语句执行
。只是PHP自身限制了这种用法。
而是不是PHP就完全无法使用多语句执行呢?答案是否,利用mysqli_multi_query就可以执行多语句,但是现实应用中基本没有人会用这个语句。而另一个常被程序员所使用的PDO方式操作数据库,情况又如何?
create table `car`(`name` varchar(32), `type` varchar(32));
<?php
$db = new
PDO
("mysql:host=localhost:3306;dbname=test", 'root', '');
// works regardless of statements emulation
// $db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);
//
$sql = "DELETE FROM car; INSERT INTO car(name, type) VALUES ('car13', 'coupe'); INSERT INTO car(name, type) VALUES ('car2', 'coupe');";
//
try {
//$db->exec($sql);
$db->query($sql);
//$stmt = $db->prepare($sql);
//$stmt->execute();
}
catch(PDOException $e){
echo $e->getMessage();
die();
}
测试了一下,果然,以上这些多语句,在PDO的情况下,安然执行了。果断查找PHP源代码:
php-5.3.8/ext/mysqlnd/mysqlnd_enum_n_def.h
#define CLIENT_MULTI_STATEMENTS (1UL << 16) /* Enable/disable multi-stmt support */
php-5.3.8/ext/pdo_mysql/mysql_driver.c
#ifdef CLIENT_MULTI_STATEMENTS
|CLIENT_MULTI_STATEMENTS
要知道,现在 多数PHP的编程框架为了支持多数据库类型,基本都会使用PDO作为底层数据库连接方式 。这意味着什么?意味着在PDO的环境中,注入点是什么类型(insert,update,delete,select)已经不重要了,注入点在语句的什么位置也不重要了(table,where,orderby),一切可能性都重现了,mysql功能突然全开放在我们面前,都可以利用多语句的方式,重新构造我们所需要的sql语句。
那是否利用PDO使用这个就完全没有限制了呢?当然也不是。首先,一般框架使用PDO作为数据库连接,常用的数据库操作,都是使用参数绑定或者prepare的方式,进行参数绑定的。而在默认情况下,这种参数绑定是在php客户端进行的,在这种情况下,是不允许多语句的。只有如下方法:
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);
才可以利用prepare执行多语句(因为参数绑定是在server端执行),而这种状况非常少见。
所以, 真正可以利用的多语句注射,只能是存在于利用PDO连接数据库,并直接使用exec或者query函数进行执行sql语句的地方。