一、 建立一個安全抽象層

我們并不建議你手工地把前面介紹的技術(shù)應(yīng)用于每一個用戶輸入的實例中，而是強烈推薦你為此創(chuàng)建一個抽象層。一個簡單的抽象是把你的校驗方案加入到一個函數(shù)中，并且針對用戶輸入的每一項調(diào)用這個函數(shù)。當(dāng)然，我們還可以創(chuàng)建一種更復(fù)雜的更高一級的抽象-把一個安全的查詢封裝到一個類中，從而應(yīng)用于整個應(yīng)用程序。在網(wǎng)上已經(jīng)存在許多這種現(xiàn)成的免費的類；在本篇中，我們正要討論其中的一些。

進行這種抽象至少存在三個優(yōu)點（而且每一個都會改進安全級別）：

1. 本地化代碼。

2. 使查詢的構(gòu)造更快且更為可靠-因為這可以把部分工作交由抽象代碼來實現(xiàn)。

3. 當(dāng)基于安全特征進行構(gòu)建并且恰當(dāng)使用時，這將會有效地防止我們前面所討論的各種各樣的注入式攻擊。

二、 改進現(xiàn)有的應(yīng)用程序

如果你想改進一個現(xiàn)有的應(yīng)用程序，則使用一個簡單的抽象層是最適當(dāng)?shù)摹Ｒ粋€能夠簡單地'清理'你所收集的任何用戶輸入內(nèi)容的函數(shù)可能看起來如下所示：

function safe( $string ) {　return ''' . mysql_real_escape_string( $string ) . '''}

【注意】我們已經(jīng)構(gòu)建了相應(yīng)于值要求的單引號以及mysql_real_escape_string()函數(shù)。接下來，就可以使用這個函數(shù)來構(gòu)造一個$query變量，如下所示：

$variety = safe( $_POST['variety'] );$query = ' SELECT * FROM wines WHERE variety=' . $variety;

現(xiàn)在，你的用戶試圖進行一個注入式攻擊-通過輸入下列內(nèi)容作為變量$variety的值：

lagrein' or 1=1;

注意，如果不進行上面的'清理'，則最后的查詢將如下所示（這將導(dǎo)致無法預(yù)料的結(jié)果）：

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

然而現(xiàn)在，既然用戶的輸入已經(jīng)被清理，那么查詢語句就成為下面這樣一種無危害的形式：

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

既然數(shù)據(jù)庫中不存在與指定的值相應(yīng)的variety域(這正是惡意用戶所輸入的內(nèi)容-lagrein' or 1=1;)，那么，這個查詢將不能返回任何結(jié)果，并且注入將會失敗。

三、 保護一個新的應(yīng)用程序

如果你正在創(chuàng)建一個新的應(yīng)用程序，那么，你可以從頭開始創(chuàng)建一個安全抽象層。如今，PHP 5新改進的對于MySQL的支持（這主要體現(xiàn)在新的mysqli擴展中）為這種安全特征提供了強有力的支持（既有過程性的，也有面向?qū)ο筇卣鞯模Ｄ憧梢詮恼军chttp://php.net/mysqli上獲取有關(guān)mysqli的信息。注意，只有當(dāng)你使用--with-mysqli=path/to/mysql_config選項編譯PHP時，這種mysqli支持才可用。下面是該代碼的一個過程性版本，用于保護一個基于mysqli的查詢：

＜?php　//檢索用戶的輸入　$animalName = $_POST['animalName'];　//連接到數(shù)據(jù)庫　$connect = mysqli_connect( 'localhost'， 'username'， 'password'， 'database' );　if ( !$connect ) exit( 'connection failed: ' . mysqli_connect_error() );　//創(chuàng)建一個查詢語句源　$stmt = mysqli_prepare( $connect,'SELECT intelligence FROM animals WHERE name = ?' );　if ( $stmt ) {//把替代綁定到語句上mysqli_stmt_bind_param( $stmt, 's', $animalName );//執(zhí)行該語句mysqli_stmt_execute( $stmt );//檢索結(jié)果...mysqli_stmt_bind_result( $stmt， $intelligence );// ...并顯示它if ( mysqli_stmt_fetch( $stmt ) ) {　print 'A $animalName has $intelligence intelligence.n';} else {　print 'Sorry, no records found.';}//清除語句源mysqli_stmt_close( $stmt );　}　mysqli_close( $connect );?＞

該mysqli擴展提供了一組函數(shù)用于構(gòu)造和執(zhí)行查詢。而且，它也非常準確地提供了前面使用我們自己的safe()函數(shù)所實現(xiàn)的功能。

在上面的片斷中，首先收集用戶提交的輸入內(nèi)容并建立數(shù)據(jù)庫連接。然后，使用mysqli_prepare()函數(shù)創(chuàng)建一個查詢語句源-在此命名為$stmt以反映使用它的函數(shù)的名稱。這個函數(shù)使用了兩個參數(shù)：連接資源和一個字符串（每當(dāng)你使用擴展插入一個值時，'?'標記被插入到其中）。在本例中，你僅有一個這樣的值-動物的名字。

注意，在一個SELECT語句中，放置'?'標記的唯一的有效位置是在值比較部分。這正是為什么你不需要指定使用哪個變量的原因（除了在mysqli_stmt_bind_param()函數(shù)中之外）。在此，你還需要指定它的類型-在本例中，'s'代表字符串。其它可能的類型有：'I'代表整數(shù)，'d'代表雙精度數(shù)(或浮點數(shù))，而'b'代表二進制字符串。

函數(shù)mysqli_stmt_execute()，mysqli_stmt_bind_result()和mysqli_stmt_fetch()負責(zé)執(zhí)行查詢并檢索結(jié)果。如果存在檢索結(jié)果，則顯示它們；如果不存在結(jié)果，則顯示一條無害的消息。最后，你需要關(guān)閉$stmt資源以及數(shù)據(jù)庫連接-從內(nèi)存中對它們加以釋放。

假定一個合法的用戶輸入了字符串'lemming'，那么這個例程將(假定是數(shù)據(jù)庫中適當(dāng)?shù)臄?shù)據(jù))輸出消息'A lemming has very low intelligence.'。假定存在一個嘗試性注入-例如'lemming' or 1=1;'，那么這個例程將打印(無害)消息'Sorry, no records found.'。此外，mysqli擴展還提供了一個面向?qū)ο蟀姹镜南嗤睦獭Ｏ旅妫覀兿胝f明這種版本的使用方法。

＜?php　$animalName = $_POST['animalName'];　$mysqli = new mysqli( 'localhost', 'username', 'password', 'database');　if ( !$mysqli ) exit( 'connection failed: ' . mysqli_connect_error() );　$stmt = $mysqli-＞prepare( 'SELECT intelligence　FROM animals WHERE name = ?' );　if ( $stmt ) {$stmt-＞bind_param( 's', $animalName );$stmt-＞execute();$stmt-＞bind_result( $intelligence );if ( $stmt-＞fetch() ) {　print 'A $animalName has $intelligence intelligence.n';} else {　print 'Sorry, no records found.';}$stmt-＞close();　}　$mysqli-＞close();?＞

實際上，這部分代碼是前面描述代碼的復(fù)制-它使用了一種面向?qū)ο蟮恼Z法和組織方法，而不是嚴格的過程式代碼。四、 更高級的抽象

如果你使用外部庫PearDB，那么，你可以對應(yīng)用程序的安全保護模塊進行全面的抽象。

另一方面，使用這個庫存在一個突出的缺點：你只能受限于某些人的思想，而且代碼管理方面也添加了大量的工作。為此，在決定是否使用它們之前，你需要進行仔細地斟酌。如果你決定這樣做，那么，你至少確保它們能夠真正幫助你'清理'你的用戶輸入的內(nèi)容。

五、 測試你的注入式保護能力

正如我們在前面所討論的，確保你的腳本安全的一個重要的部分是對它們進行測試。為此，最好的辦法是你自己創(chuàng)建SQL代碼注入測試。在此，我們提供了一個這種測試的示例。在本例中，我們測試對一個SELECT語句的注入式攻擊。

＜?php//被測試的保護函數(shù)function safe( $string ) {　return ''' . mysql_real_escape_string( $string ) . '''}//連接到數(shù)據(jù)庫/////////////////////////試圖進行注入///////////////////////$exploit = 'lemming' AND 1=1;';//進行清理$safe = safe( $exploit );$query = 'SELECT * FROM animals WHERE name = $safe';$result = mysql_query( $query );//測試是否保護是足夠的if ( $result && mysql_num_rows( $result ) == 1 ) {　exitt 'Protection succeeded:n　exploit $exploit was neutralized.';}else {　exit( 'Protection failed:n　exploit $exploit was able to retrieve all rows.' );}?＞

如果你想創(chuàng)建這樣的一個測試集，并試驗基于不同的SQL命令的各種不同的注入，那么，你將會很快地探測出你的保護策略中的任何漏洞。一旦糾正這些問題，那么，你就可以很有把握-你已經(jīng)建立起真正的注入式攻擊保護機制。

六、 小結(jié)

在本系列文章一開始，我們通過一個SQL注入討論分析了對你的腳本的特定威脅-由不恰當(dāng)?shù)挠脩糨斎胨隆Ｖ螅覀兠枋隽薙QL注入的工作原理并精確地分析了PHP是怎樣易于被注入的。然后，我們提供了一個實際中的注入示例。之后，我們推薦一系列措施來使試圖的注入攻擊變?yōu)闊o害的-這將分別通過確保使所有提交的值以引號封閉，通過檢查用戶提交值的類型，以及通過過濾掉你的用戶輸入的潛在危險的字符等方法來實現(xiàn)的。最后，我們推薦，你最好對你的校驗例程進行抽象，并針對更改一個現(xiàn)有應(yīng)用程序提供了腳本示例。然后，我們討論了第三方抽象方案的優(yōu)缺點。

全文完