动态网站安全问题（PHP+MySQL）

Posted 2023-03-06

【中文标题】动态网站安全问题（PHP+MySQL）

【英文标题】：Dynamic Website Security Questions (PHP+MySQL)

【发布时间】：2011-04-13 15:30:19

【问题描述】：

我正在编写一个由 php 和 mysql 提供支持的动态站点（在 WAMP 服务器上运行）。我目前担心的是网站的安全性，但是它没有保存任何用户输入，然后为任何用户（管理员除外）输出，所以我并不担心 XSS。我主要关心的是防止 SQL 注入攻击和保护管理员登录门户免受彩虹表/暴力破解。

1) 将 mysql_real_escape_string 与 sprintf() 结合使用是否可以保护您免受 SQL 注入？例如，

$thing = mysql_real_escape_string($_REQUEST['thing'])
$query = sprintf("SELECT * FROM table WHERE thing='%s'", $thing);
$result = mysql_query($query);

这足够安全吗？当然，没有一个系统是绝对安全的，但我知道准备好的语句应该是防止 SQL 注入的最佳方法。但是，如果我的代码“足够安全”，那么我认为没有理由进行更改。我在某处读到 mysql_query 默认情况下，出于安全原因，每次调用只允许一个 MySQL 查询，对吗？如果是这样，我看不出如何对我的代码进行任何注入，但请让我知道我的逻辑是否存在缺陷。

2) 我正在为该站点编写一个管理门户，以便它的所有者可以在网站上以一种简单、用户友好的方式操作 MySQL 数据库（从未从任何地方链接到的登录 html 文件）在网站上）。我在这里对安全性的关注是登录过程，它由两个页面组成。一、收集用户登录信息：

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xml:lang="en" xmlns="http://www.w3.org/1999/xhtml" lang="en">
<head>
<title>Admin Portal</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="robots" content="noindex, nofollow">
<link rel="stylesheet" type="text/css" href="http://www.anotherdomain.com/my.css">
<script type="text/javascript" src="http://www.anotherdomain.com/my.js"></script>
</head>
<form method="post" action="admin/login.php">
<table align="center">
<tr><th>Admin Login Form</th></tr>
<tr><td>Name</td><td><input type="text" name="Name" size="30" onKeyPress="return aJSFunctionToStopEnterKeyFromWorking(event)"></td></tr>
<tr><td>Password</td><td><input type="password" name="Password" size="30" onKeyPress="return aJSFunctionToStopEnterKeyFromWorking(event)"></td></tr>
<tr><td></td><td><input type="reset" value="Clear Form"> <input type="submit" value="Login"></td></tr>
</table>
</form>

二、实际登录脚本：

<?php
$inputusername = $_POST['Name'];
$inputpassword = $_POST['Password'];

$username = "a username that is not obvious";
$password = "a password that is at least 10 characters long";
$salt = hash('sha512', "a messed up string with weird characters that I wrote");

$hashword = hash('sha512', $password . $salt);
$inputhashword = hash('sha512', $inputpassword . $salt);

if($username == $inputusername && $hashword == $inputhashword) 
    session_start();
    $_SESSION['valid'] = 1;
    header('Location: portal.php');
    exit;

else echo "Invalid username or password";
?>

然后在登录过程之后，每个页面都会有以下内容，以确保管理员已登录：

<?php
session_start();
if(!$_SESSION['valid']) header('Location: ../admin.html');
?>
Portal page goes here

由于没有创建新用户，因此门户网站永远只有一个用户。我只是想知道这种登录方法对彩虹表和暴力破解等攻击有多安全？我认为，由于我将 hashword 和 salt 都设置得非常大，因此即使用户名在某种程度上是已知的，它也应该可以非常安全地免受此类攻击。

我也想知道这是否可以避免会话劫持，因为这是我听说过的一个术语，但我不太了解......我知道我从来没有抛出会话 ID 或类似的东西，所以看起来很安全。

3) 我应该知道/考虑的任何其他安全问题？

非常感谢我在这方面得到的任何帮助！

【参考方案1】：

其他需要考虑的点：

1.你很容易受到暴力破解

字典攻击会破解您的密码。由于绝大多数用户的密码不安全，这只是时间问题。使用验证码，或记录无效条目。或者密码错误的时候加一些延迟。

正如 Shrapnel 上校所说，彩虹表不是你关心的问题，因为当有人拥有一堆哈希并想要破解它们时使用它们。盐被用来获得一些防止彩虹表的保护，这不是你的情况。

2。您正在以明文形式发送密码

如果有人嗅到你的登录信息（例如 wifi），你就完蛋了。有一些 javascript 库可以使用公钥加密任何东西。如果您不想使用 SSL，请将登录名/密码加密，发送到服务器，使用私钥解密，这样更安全。

3.考虑在 MySQL 上使用准备好的语句

使用准备好的语句有助于防止 SQL 注入，因为即使有恶意输入，它也可以安全运行：

$dbc = new mysqli("mysql_server_ip", "mysqluser", "mysqlpass", "dbname");
$statement = $db_connection->prepare("SELECT * FROM table WHERE thing='?'");
$statement->bind_param("i", $thing);
$statement->execute();

4.不要中继客户端验证

在您的登录表单上，您使用一个阻止 Enter 键起作用的 javascript 函数。如果我禁用 Javascript 怎么办？您可以使用隐藏字段（例如 ），使用您的函数来阻止 Enter-key，并使用 onSubmit() 函数将 FormIsValid 更改为 1发送表格。在您的服务器中，验证 FormIsValid。

5.您容易受到会话劫持

您的会话保存在 cookie 中，默认命名为 PHPSESSID。如果攻击者可以获取该 cookie，它可以将其发送到您的服务器并窃取您的会话。为了防止这种情况，您可以将用户 IP 地址和用户代理保存在会话中，并比较每个请求从会话接收到的值。如果值不匹配，则用户 IP 可能已更改或会话可能已被劫持。

6.您可能容易受到会话固定的影响

如上所述，如果有人说服您的管理员访问某个站点，并且该站点向您的站点发送了一个带有 PHPSESSID 的请求，您的站点将创建会话，处理登录名/密码，并声明凭据错误。到目前为止还不错。

稍后，您的管理员登录到您的门户，会话已经存在，登录名和密码匹配，并且会话已更新。变量 valid 现在是 1。

一旦变量更新，攻击者就可以完全访问您的门户，因为他知道 PHPSESSID，您的站点不会阻止会话劫持或会话固定。

为避免会话固定和劫持，请参阅 #5。

【讨论】：

一些事情。如果会话 ID（这是真正的身份验证令牌）以明文形式发送，谁在乎密码是否为明文形式。您的解决方案仍然违反 OWASP A9。谁在乎 cookie 的名称是什么，这不会影响会话固定。要停止会话固定，您只需在 php.ini 中设置 session.use_only_cookies=1。

另外，您完全错过了比您列出的任何一个都严重得多的身份验证绕过漏洞。

@Rook 我只关注身份验证脚本，而不是管理会话下的所有其他脚本。

@Rook，感谢您提出 session.use_only_cookies=1，我完全忘记了它，现在添加到我的 session.class.php (:

【参考方案2】：

1) 结合 sprintf() 使用 mysql_real_escape_string 是否可以保护您免受 SQL 注入？

只要 1) 您仅将此函数应用于 字符串 并且 2) 设置了使用 mysql_set_charset() 的正确编码。 对于数字，您可以简单地使用%d

我在某处读到 mysql_query 默认情况下出于安全原因只允许每次调用一个 MySQL 查询，对吗？

你是对的。安全性并不高，但更有可能是设计上的。

如果是这样，我看不出如何在我的代码上进行任何注入，但请让我知道我的逻辑是否存在缺陷。

你错了。 SQL 注入代表在您的查询中注入 SQL 代码，而不仅仅是单个“bobby drop tables”查询。

我只是想知道这种登录方法对彩虹表和暴力破解等攻击有多安全？

Rainbow tables 与这里无关，而暴力破解仍然是一种危险。 我不认为这有什么大不了的。不大于以纯文本形式发送密码。

我认为既然我将 hashword 和 salt 都设置得非常大，它应该是相当安全的

这里很有趣。 事实上，所有这些散列/加盐的混乱在这里完全没用。它并不比仅比较普通密码更安全。

我也想知道这是否可以避免会话劫持，

总是有可能的。如果您非常担心，请使用 SSL 连接，就像 google mail 一样。

所以我并不真的担心 XSS。

那是很虚假的感觉。 像echo "Requested article: ".$_GET['id']' 这样简单的东西已经很容易受到攻击。

【讨论】：

哦，没关系。现在我明白你的意思了。没关系。基本上你是说他假设不可能注入是错误的，因为 MySQL 每次调用只允许一个查询。我明白了...

【参考方案3】：

看起来其他人已经把这个分开了。但我还有一个要补充：

身份验证绕过：

<?php
session_start();
if(!$_SESSION['valid']) header('Location: ../admin.html');
?>

当您执行header("location: ...") 脚本仍然执行时，您仍然需要exit 或die()。所以事实上，通过这段代码，我知道未经身份验证的用户可以访问您的所有页面。

【参考方案4】：

更多改进：

检查参数的类型在您将它们引用到某些东西之前。 （文本搜索除外。这需要更多）。缺失值可能引发 SQL 错误，攻击者可以从中学习;)

将反 csrf 令牌放入您的登录页面，并在登录错误后进入睡眠状态，以防止暴力攻击。

通过 https 登录。通过 http，您通过网络推送 清除密码。中间攻击场景中的完美男人（但很难做到:)。

检查输入编码是否正确。有一些 UTF-7 攻击使用日本多字节字符，其中有一个单引号作为第二个字节。 （这可能会破坏 mysql_real_escape_string） Veeery 棘手的东西。

使用准备好的语句