1.代码分析

HTML代码

<form action="#" method="GET"><input type="text" name="id"><input type="submit" name="Submit" value="Submit">
</form>action=“#”，将数据提交到当前页面。

PHP代码分析

if(isset($_GET[‘Submit’])){ 		//判断Submit变量是否存在$id = $_GET[‘id’]; 		//获取id变量的值并赋值给变量$id$getid = "SELECT first_name, last_name FROM users WHERE user_id = ‘1’ and ‘1’=‘1'"; //将select查询语句赋值给变量$getid

$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); //mysql_query()函数执行mysql查询//die() 函数输出一条消息，并退出当前脚本。//mysql_error() 函数返回上一个 MySQL 操作产生的文本错误信息。//or之前的语句执行不成功时，才会执行后面的语句。//and之前的语句执行成功时，才会执行后面的语句。

mysql_query()函数

mysql_query()如果是执行查询之类的语句（select），那么会返回一个资源标识符，也就是我们要查找的数据结果集；mysql_query()如果是执行增删改之类的语句，返回的就是true或者false了。

PHP代码分析

$num = mysql_numrows($result); 		//返回结果集中行的数目$i = 0; while ($i < $num) { $first = mysql_result($result,$i,"first_name"); 	//返回结果集中first_name字段的值$last = mysql_result($result,$i,"last_name"); 	//返回结果集中last_name字段的值echo '<pre>'; echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>surname: ' . $last; echo '</pre>'; $i++; } 

2.漏洞分析

SQL注入分类

按照所传递的数据类型分类： 数字型注入 SELECT first_name, last_name FROM users WHERE user_id= id字符型注入SELECTfirstn​ame,lastn​ameFROMusersWHEREuseri​d=′id‘ 无论何种类型，都可以通过直接输入单引号来判断是否存在注入点。 可以分别输入3和1+2，根据显示结果来判断数据类型。

字符型注入

字符型注入最关键的是如何闭合SQL语句以及注释多余的代码。

SELECT first_name, last_name FROM users WHERE user_id = ’1 ‘or 1=1 or ‘ '

’ or 1=1 or ‘		假 or 真 or 假1’ or ‘1’=‘1		真 or 真’ or 1=1 #		假 or 真’ or 1=1 -- 		假 or 真

手工MySQL注入流程

’ union select 1,2 #
’ union select user(),database() #
‘ union select table_name,2 from information_schema.tables where table_schema='dvwa' #
‘ union select column_name,2 from information_schema.columns where table_name='users' #
‘ union select user,password from users #

3.漏洞防御

如何防御SQL注入

SQL注入漏洞的形成原因：用户构造的语句被代入到数据库中执行。

防御SQL注入的首要原则：用户的一切输入都是有害的，或是说不被信任的。

防御SQL注入的主要方法：对用户输入的数据进行过滤。

medium级别的防御措施

$id = $_GET['id']; 
$id = mysql_real_escape_string($id); 使用mysql_real_escape_string()函数对用户输入的id参数进行了过滤。可以将单引号【'】、双引号【"】、反斜杠【\】、空字符【null】等进行转义。
转义是把指定的字符转换成无意义的符号，比如PHP解析器不会把经过转义的引号当成引号来看待。PHP中另一个功能类似的函数：addslashes()

medium级别的漏洞

$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"; 注入类型变成了数字型，mysql_real_escape_string()函数过滤无效。

high级别的防御措施

$id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escape_string($id); stripslashes()函数的作用是删除由 addslashes() 函数添加的反斜杠，也就是去除addslashes()函数的转义。

magic_quotes_gpc魔术引号

在PHP配置文件php.ini中存在magic_quotes_gpc选项，被称为魔术引号。

在high级别下，PHP的magic_quotes_gpc被自动设为on。

开启之后，可以对所有的GET、POST和COOKIE传值的数据自动运行addslashes()函数

关闭魔术引号

修改C:\Windows\php.ini文件magic_quotes_gpc = Off

重启Apache服务

high级别的防御措施

if (is_numeric($id)){ $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 在执行查询之前，使用了if语句进行判断，判断的条件是is_numeric()函数。
判断用户输入的数据是否是数字型，只要不是数字型就一概报错。
and、or、select等语句都无法执行。

如何从代码层面防范SQL注入

对于数字型注入，可以使用if语句，并以is_number()函数作为判断条件进行防御。

对于字符型注入，对用于接收用户参数的变量，用mysql_real_escape_string()、addslashes()等函数进行过滤。

SQL注入的防范措施

代码层面 1.对输入进行严格的转义和过滤； 2.使用参数化查询。

网络层面 1.通过WAF进行防护； 2.云端防护：安全狗、360网站卫士、阿里云盾等。