SQL-주입
웹 페이지를 통해 사용자 입력을 가져 와서 SQL 데이터베이스에 삽입하면 다음과 같은 보안 문제로 인해 자신을 활짝 열어 놓을 가능성이 있습니다. SQL Injection. 이 장에서는 이러한 문제를 방지하고 PERL 스크립트와 같은 서버 측 스크립트에서 스크립트와 SQL 문을 보호하는 방법을 알려줍니다.
주입은 일반적으로 사용자에게 이름과 같은 입력을 요청할 때 발생하며 이름 대신 데이터베이스에서 무의식적으로 실행할 SQL 문을 제공합니다. 사용자가 제공 한 데이터를 신뢰하지 말고 유효성 검사 후에 만이 데이터를 처리하십시오. 일반적으로 이것은Pattern Matching.
아래 예에서 name 영숫자 문자와 밑줄 및 8 ~ 20 자 길이로 제한됩니다 (필요에 따라 이러한 규칙을 수정).
if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)) {
$result = mysql_query("SELECT * FROM CUSTOMERS
WHERE name = $matches[0]");
} else {
echo "user name not accepted";
}
문제를 설명하기 위해이 발췌를 고려하십시오.
// supposed input
$name = "Qadir'; DELETE FROM CUSTOMERS;";
mysql_query("SELECT * FROM CUSTOMSRS WHERE name='{$name}'");
함수 호출은 이름 열이 사용자가 지정한 이름과 일치하는 CUSTOMERS 테이블에서 레코드를 검색해야합니다. 정상적인 상황에서는$nameilia 문자열과 같은 영숫자와 공백 만 포함합니다. 그러나 여기서 $ name에 완전히 새로운 쿼리를 추가하면 데이터베이스 호출이 재앙이됩니다. 삽입 된 DELETE 쿼리는 CUSTOMERS 테이블에서 모든 레코드를 제거합니다.
다행히 MySQL을 사용하는 경우 mysql_query()함수는 단일 함수 호출에서 쿼리 스택 또는 여러 SQL 쿼리 실행을 허용하지 않습니다. 쿼리를 스택하려고하면 호출이 실패합니다.
그러나 다음과 같은 다른 PHP 데이터베이스 확장은 SQLite 과 PostgreSQL 스택 쿼리를 즐겁게 수행하고 하나의 문자열로 제공된 모든 쿼리를 실행하면 심각한 보안 문제가 발생합니다.
SQL 주입 방지
PERL 및 PHP와 같은 스크립팅 언어에서 모든 이스케이프 문자를 현명하게 처리 할 수 있습니다. PHP 용 MySQL 확장은 다음 기능을 제공합니다.mysql_real_escape_string() MySQL에 특수한 입력 문자를 이스케이프합니다.
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM CUSTOMERS WHERE name='{$name}'");
LIKE Quandary
LIKE 문제를 해결하려면 사용자 지정 이스케이프 메커니즘이 사용자 제공 '%'및 '_'문자를 리터럴로 변환해야합니다. 사용하다addcslashes()이스케이프 할 문자 범위를 지정할 수있는 함수입니다.
$sub = addcslashes(mysql_real_escape_string("%str"), "%_");
// $sub == \%str\_
mysql_query("SELECT * FROM messages
WHERE subject LIKE '{$sub}%'");