【 摘 要 】 隨著互聯網+時代的到來，中小企業(yè)網站雨后春筍，考慮成本和建站周期，一般都是基于Apache+PHP+Mysql架構。越來越多的網絡訪問通過Web界面進行操作，Web安全已經成為互聯網安全的一個熱點，基于Web的攻擊廣為流行，SQL注入、跨站腳本等Web應用層漏洞的存在使得網站淪陷、頁面篡改、網頁掛馬等攻擊行為困擾著網站管理者并威脅著網站以及直接用戶的安全。論文就SQL注入作一些歸納總結。

【 關鍵詞 】 網站；SQL；注入防護

【 中圖分類號 】 TP392

【 文獻標識碼 】 A

Based on the Apache+PHP+Mysql SQL Injection Site Protection to Discuss

Li Jun-feng

（Zigui County Human Resources and Social Security Information Center HubeiYichang 443600）

【 Abstract 】 With the advent of the era of Internet+， websites of small and medium-sized enterprises sprung up. Considering the cost and build cycle， they are generally based on Apache+PHP+Mysql architecture. More and more network access via a Web interface. Web security has become a focus of the Internet security. Web-based attack is popular.The Existence of The Web application layer holes such as SQL injection and cross-site scripting vulnerabilities has been affecting website managers and threatening the safety of site and direct user.They make website fall， tampered with， Web page hang a horse. Engaged in small and medium-sized website development and construction management for many years， accumulated certain experience，this article will make a few generalizations for SQL injection. For reference only.

【 Keywords 】 website； sql； injection protection

1 引言

SQL注入技術是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，提交精心構造的數據庫語句，使其反饋一些有用的數據，去欺騙數據庫，最終達到欺騙服務器執(zhí)行惡意的SQL命令。假如只有Web服務器的話，是沒法進行的。

2 SQL注入形式

常用的SQL注入手法有兩種：一種是猜測，讓數據庫暴出用戶名、密碼等信息；另一種直接繞過認證，取得權限。相對應防護，就必須禁止特殊數據的提交或將特殊提交的數據修改。

3 Apache+PHP+Mysql架構網站威脅風險等級

高風險：跨站腳本攻擊、拒絕服務。

中風險：內容欺騙、信息泄露、遠程信息泄露、資源位置可預測。

其它（應用）風險：安全配置錯誤、不安全的加密存儲、沒有限制URL訪問、敏感數據泄露、缺乏功能層次的訪問控制。

4 常見SQL注入漏洞及防護對策。

4.1 客戶端攻擊類型

4.1.1 跨站腳本攻擊

指利用網站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息或在終端用戶系統(tǒng)上執(zhí)行惡意代碼。 本漏洞屬于Web應用安全常見漏洞，跨站腳本攻擊所帶來的主要問題包括賬號劫持、惡意腳本執(zhí)行、蠕蟲傳播、信息竊取、拒絕服務、瀏覽器重新定向、控制用戶設置。

推薦措施：實施安全編程技術，確保正確過濾用戶提供的數據，防以可執(zhí)行的格式向終端用戶發(fā)送注入的腳本。 對于開發(fā)應用，要盡可能使用嚴格測試發(fā)布的模版。

4.1.2 內容欺騙

參數污染漏洞。HTTP參數污染攻擊指的是攻擊者在請求中構造多個參數名相同的參數，由于不同的服務器端腳本語言在處理相同參數名的參數時，可能選用的參數值與參數的先后順序有關。 應對措施：對于輸入參數為字符串類型的參數，校驗參數值中是否包含可用于分割參數的分隔符，比如& 、%等。

點擊劫持。這是一種視覺上的欺騙手段。攻擊者使用一個透明的、不可見的iframe，覆蓋在一個網頁上，然后誘使用戶在該網頁上進行操作，此時用戶將在不知情的情況下點擊透明的iframe頁面。防護措施：修改Web服務器配置，添加X-Frame-Options響應頭。

賦值有三種。（1）DENY：不能被嵌入到任何iframe或者frame中；（2）SAMEORIGIN：頁面只能被本站頁面嵌入到iframe或者frame中；（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。apache可配置http.conf。

不安全的HTTP方法。目標Web服務器配置成允許一個（或多個）HTTP 方法（DELETE、SEARCH、COPY、MOVE等）。這些方法允許客戶端操縱服務器上的文件，有可能允許未授權的用戶對其進行利用，修改服務器上的文件，要嚴格訪問權限，如認證方法，認證需要的用戶名、密碼。

4.2 邏輯攻擊類型：拒絕服務

PHP Web表單哈希沖突拒絕服務漏洞。PHP是英文超級文本預處理語言，查閱PHP官方資料，PHP 5.4之前版本在計算表單參數哈希值的實現上沒有提前限制哈希沖突，存在拒絕服務漏洞，通過發(fā)送小量的特制Webform表單張貼到受影響應用程序，攻擊者可利用此漏洞導致使用PHP的站點失去響應正常請求的能力。

PHP multipart/form-data 遠程DOS漏洞。PHP解析multipart/form-data http請求的Body Part請求頭時，重復拷貝字符串導致DOS。遠程攻擊通過發(fā)送惡意構造的multipart/form-data請求，導致服務器CPU資源被耗盡，從而遠程DOS服務器。

目前PHP已經發(fā)布了升級補丁以修復這類安全問題。

4.3 信息泄露類型

數據庫服務敏感信息泄露。由于Web應用程序沒有正確處理用戶輸入和處理數據庫異常導致頁面信息中包含數據庫錯誤信息，通過數據庫錯誤信息可以得知后臺數據庫類型，甚至數據庫結構，為進一步SQL注入攻擊提供有利信息。開發(fā)采用安全編程方法捕獲數據庫異常，不要顯示數據庫服務器錯誤信息，有效過濾用戶輸入，限定數據類型，定義接收數據的最長和最短長度。

資源位置可預測泄露。較低的安全保護，攻擊者可以通過該文件獲取敏感信息或者進入網站后臺，進行惡意操作。加強訪問此類文件的認證和使用安全，刪除修改為不可預測的文件名目標Web應用表單密碼泄露。密碼類型輸入啟用了自動完成操作，如果密碼類型Input標簽的“autocomplete”屬性值為“on”，或者“autocomplete”屬性未設置，則認為存在漏洞。因此，腳步本增加。

基于HTTP連接的登錄請求泄露。目標應用程序使用HTTP連接接受客戶端的登錄請求，如果登錄請求數據沒有加密處理，有可能被攻擊者嗅探到客戶端提交的請求數據，請求數據中一般包含用戶名和密碼，導致信息泄露。

PHPinfo（）函數信息及PHP錯誤信息泄漏。PHPinfo（）函數返回服務器的配置信息，應用本身存在問題或者發(fā)送請求時提交的參數不合法導致PHP錯誤信息（包含錯誤發(fā)生的位置、路徑和文件），這些敏感信息會幫助攻擊者展開進一步的攻擊。對于開發(fā)人員，增強錯誤處理和參數檢查。 修改服務器的PHP配置的參數display_errors=Off， 限制對PHPinfo（）函數的調用。

4.4 PHP配置帶來的風險

allow_url_fopen。該指令開啟允許從遠程位置（網站或FTP服務器）進行數據檢索。結合其它漏洞可被利用來進行遠程文件包含攻擊。在PHP.ini或.htaccess文件中禁用allow_url_fopen。

display_errors。該指令開啟時，當用戶瀏覽網站時，如果PHP出現內部錯誤，會將錯誤信息返回到瀏覽器。這些信息通常包含您的Web應用程序的敏感信息。在PHP.ini或htaccess文件中禁用display_errors。

open_basedir。該指令設置可以限制PHP只能打開指定目錄樹中的文件，如果文件不在指定的目錄下，PHP將拒絕打開它。open_basedir能很好地保護來自遠程文件包含漏洞的攻擊，對目錄遍歷攻擊也能起到一定的防范。在PHP.ini文件中配置： open_basedir = your_application_directory。

cookie中HttpOnly屬性。缺少則認為存在漏洞，在PHP.ini中設置session.cookie_httponly =1或PHP代碼中加入。

4.5 Web應用漏洞風險

主要是存在應用程序測試用例、目標服務器存在系統(tǒng)路徑信息泄露、存在用戶名或者密碼信息泄露等。這些要所根據實際應用情況判定和處理。

5 結束語

SQL注入是一件頭痛的事。避免SQL注入漏洞，要從源頭起，對網站開發(fā)的關鍵人員進行安全編碼方面的培訓，在開發(fā)過程就避免漏洞的引入能起到事半功倍的效果。

參考文獻

[1] 黃慧芳.PHP+MySQL項目開發(fā)權威指南[M].北京：中國鐵道出版社，2013.

[2] 列旭松.PHP核心技術與最佳實踐[M].北京：機械工業(yè)出版社，2013.

[3] 錢雪.MySQL數據庫技術與實驗指導[M].北京：清華大學出版社，2012.

[4] 王曼.設計動態(tài)網站的最佳組合：Apache+PHP+MySQL[J].電子制作，2014，7X，p82.

作者簡介：

李俊鋒（1969-），男，湖北秭歸人，專科，計算機工程師，從事人力資源和社會保障信息化規(guī)劃建設；主要研究方向和關注領域：大型數據庫管理應用、中小網站開發(fā)建設管理。