https://jackxiang.com/index.php zh-cn https://jackxiang.com/post// jack <xdy108@126.com> Wed, 02 Dec 2009 01:34:53 +0000 https://jackxiang.com/post// http://www.4ngel.net/article/36.htm


①SELECT * FROM article WHERE articleid='$id'
②SELECT * FROM article WHERE articleid=$id

　　两种写法在各种程序中都很普遍，但安全性是不同的，第一句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行，而第二句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子分别提交两个成功注入的畸形语句，来看看不同之处。

① 指定变量$id为：
1' and 1=2 union select * from user where userid=1/*
此时整个SQL语句变为：
SELECT * FROM article WHERE articleid='1' and 1=2 union select * from user where userid=1/*'

②指定变量$id为：
1 and 1=2 union select * from user where userid=1
此时整个SQL语句变为：
SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1


　　看出来了吗？由于第一句有单引号，我们必须先闭合前面的单引号，这样才能使后面的语句作为SQL执行，并要注释掉后面原SQL语句中的后面的单引号，这样才可以成功注入，如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数，我们的攻击就会化为乌有，但第二句没有用引号包含变量，那我们也不用考虑去闭合、注释，直接提交就OK了。
　　大家看到一些文章给出的语句中没有包含单引号例如pinkeyes的《php注入实例》中给出的那句SQL语句，是没有包含引号的，大家不要认为真的可以不用引号注入，仔细看看PHPBB的代码，就可以发现，那个$forum_id所在的SQL语句是这样写的：

$sql = "SELECT *
FROM " . FORUMS_TABLE . "
WHERE forum_id = $forum_id";


　　由于没有用单引号包含变量，才给pinkeyes这个家伙有机可乘，所以大家在写PHP程序的时候，记得用单引号把变量包含起来。当然，必要的安全措施是必不可少的。
]]> https://jackxiang.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 https://jackxiang.com/post//#blogcomment