在PHP中全面阻止SQL注入式攻击之二

三、 INVISION Power BOARD SQL注入脆弱性

　　Invision Power Board是一个著名的论坛系统。2005年五月6号，在登录代码中发现了一处SQL注入脆弱性。其发现者为GulfTech Security Research的James Bercegay。

　　这个登录查询如下所示：

$DB->query("SELECT * FROM ibf_members WHERE id=$mid AND password='$pid'");

　　其中，成员ID变量$mid和口令ID变量$pid被使用下面两行代码从my_cookie()函数中检索出：

$mid = intval($std->my_getcookie('member_id')); $pid = $std->my_getcookie('pass_hash');

　　在此，my_cookie()函数使用下列语句从cookie中检索要求的变量：

return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);

　　【注意】从该cookie返回的值根本没有被处理。尽管$mid在使用于查询之前被强制转换成一个整数，但是$pid却保持不变。因此，它很容易遭受我们前面所讨论的注入类型的攻击。

　　因此，通过以如下方式修改my_cookie()函数，这种脆弱性就会暴露出来：

if ( ! in_array( $name，array('topicsread'， 'forum_read'，'collapseprefs') ) ) { return $this-> clean_value(urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name])); } else { return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]); }

　　经过这样的改正之后，其中的关键变量在"通过"全局clean_value()函数后被返回，而其它变量却未进行检查。

　　现在，既然我们大致了解了什么是SQL注入，它的注入原理以及这种注入的脆弱程度，那么接下来，让我们探讨如何有效地预防它。幸好，PHP为我们提供了丰富的资源，因此我们有充分的信心预言，一个经仔细地彻底地使用我们所推荐的技术构建的应用程序将会从你的脚本中根本上消除任何可能性的SQL注入-通过在它可能造成任何损坏之前"清理"你的用户的数据来实现。

　　四、 界定你的查询中的每一个值

　　我们推荐，你确保界定了你的查询中的每一个值。字符串值首当其冲，以及那些你通常期望应该使用"单"(而不是"双")引号的内容。一方面，如果你使用双引号来允许PHP在字符串内的变量替代，这样可以使得输入查询更为容易些；另一方面，这(无可否认，只是极少量地)也会减少以后PHP代码的分析工作。

　　下面，让我们使用我们一开始使用的那个非注入式查询来说明这个问题：

SELECT * FROM wines WHERE variety = 'lagrein'

　　或以PHP语句表达为：

$query = "SELECT * FROM wines WHERE variety = '$variety'";

　　从技术上讲，引号对于数字值来说是不需要使用的。但是，如果你并不介意用引号把例如葡萄酒这样的一个域相应的一个值括起来并且如果你的用户把一个空值输入到你的表单中的话，那么，你会看到一个类似下面的查询：

SELECT * FROM wines WHERE vintage =

　　当然，这个查询从语法上讲是无效的；但是，下面的语法却是有效的：

SELECT * FROM wines WHERE vintage = ''

　　第二个查询将(大概)不会返回任何果，但是至少它不会返回一个错误消息。