SQL-주입

웹 페이지를 통해 사용자 입력을 가져 와서 SQL 데이터베이스에 삽입하면 다음과 같은 보안 문제로 인해 자신을 활짝 열어 놓을 가능성이 있습니다. SQL Injection. 이 장에서는 이러한 문제를 방지하고 PERL 스크립트와 같은 서버 측 스크립트에서 스크립트와 SQL 문을 보호하는 방법을 알려줍니다.

주입은 일반적으로 사용자에게 이름과 같은 입력을 요청할 때 발생하며 이름 대신 데이터베이스에서 무의식적으로 실행할 SQL 문을 제공합니다. 사용자가 제공 한 데이터를 신뢰하지 말고 유효성 검사 후에 만이 데이터를 처리하십시오. 일반적으로 이것은Pattern Matching.

아래 예에서 name 영숫자 문자와 밑줄 및 8 ~ 20 자 길이로 제한됩니다 (필요에 따라 이러한 규칙을 수정).

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)) {
   $result = mysql_query("SELECT * FROM CUSTOMERS 
      WHERE name = $matches[0]");
} else {
   echo "user name not accepted";
}

문제를 설명하기 위해이 발췌를 고려하십시오.

// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");

함수 호출은 이름 열이 사용자가 지정한 이름과 일치하는 CUSTOMERS 테이블에서 레코드를 검색해야합니다. 정상적인 상황에서는$nameilia 문자열과 같은 영숫자와 공백 만 포함합니다. 그러나 여기서 $ name에 완전히 새로운 쿼리를 추가하면 데이터베이스 호출이 재앙이됩니다. 삽입 된 DELETE 쿼리는 CUSTOMERS 테이블에서 모든 레코드를 제거합니다.

다행히 MySQL을 사용하는 경우 mysql_query()함수는 단일 함수 호출에서 쿼리 스택 또는 여러 SQL 쿼리 실행을 허용하지 않습니다. 쿼리를 스택하려고하면 호출이 실패합니다.

그러나 다음과 같은 다른 PHP 데이터베이스 확장은 SQLitePostgreSQL 스택 쿼리를 즐겁게 수행하고 하나의 문자열로 제공된 모든 쿼리를 실행하면 심각한 보안 문제가 발생합니다.

SQL 주입 방지

PERL 및 PHP와 같은 스크립팅 언어에서 모든 이스케이프 문자를 현명하게 처리 할 수 ​​있습니다. PHP 용 MySQL 확장은 다음 기능을 제공합니다.mysql_real_escape_string() MySQL에 특수한 입력 문자를 이스케이프합니다.

if (get_magic_quotes_gpc()) {
   $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");

LIKE Quandary

LIKE 문제를 해결하려면 사용자 지정 이스케이프 메커니즘이 사용자 제공 '%'및 '_'문자를 리터럴로 변환해야합니다. 사용하다addcslashes()이스케이프 할 문자 범위를 지정할 수있는 함수입니다.

$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages 
   WHERE subject LIKE '{$sub}%'");