前言

随着数据库参数化查询的方式越来越普遍，sql注入漏洞较之于以前也大大减少，而pdo作为php中最典型的预编译查询方式，使用越来越广泛。

众所周知，PDO是php中防止SQL注入最好的方式，但并不是100%杜绝SQL注入的方式，关键还要看如何使用。

之前在一篇文章中了解到PDO场景下参数可控导致的多句执行等问题（https://xz.aliyun.com/t/3950）于是对PDO场景下的SQL注入又进行了一些探究。

PDO查询语句可控存在的安全问题：

首先在本地新建一个库和表，随便写点东西。

然后写一个test.php，用PDO进行简单的查询：

getMessage();
}if(isset($_GET['id']))
{
  $id = $_GET['id'];
}else{
  $id=1;
}
$query = "select balabala from table1 where 1=?";echo "id:".$id."
";
$row = $db->prepare($query);
$row->bindParam(1,$id);
$row->execute();
$result = $row->fetch(PDO::FETCH_ASSOC);if($result)
{  echo "结果为：";
  print_r($result);  echo "
";
}

将输入的内容和得到的结果打印在页面上：

PDO与安全问题相关的主要的设置有下面三个：

PDO::ATTR_EMULATE_PREPARES
PDO::ATTR_ERRMODE
PDO::MYSQL_ATTR_MULTI_STATEMENTS

分别与模拟预编译、报错和多句执行有关。

PDO默认是允许多句执行和模拟预编译的，在之前的很多文章中已经写到，在参数可控的情况下，会导致堆叠注入。

例如我们把查询语句改成：

$query = "select balabala from table1 where 1={$id}";
$row = $db->query($query);

则在$db->query()这一步执行之前，我们便可以对$query进行非法操作，那PDO相当于没用：

PDO默认设置存在的安全隐患：

如果我们在查询语句中没有可控的参数，并把输入的参数按照prepare->bindParam->execute的方式去写就一定没有问题了吗？

我们按如下语句进行查询：

$query = "select balabala from table1 where 1=?";
$row = $db->prepare($query);
$row->bindParam(1,$_GET[‘id’]);
$row->execute();

我们在URL中随便输入一个参数：?id=asdasd，然后通过设置SET GLOBAL GENERAL_LOG=ON，从.log里实时监控，看看sql语句到底执行了什么：

我们发现模拟预编译的请求发送方式和以往的mysqli并没有什么区别，但我们注意到，在原有的查询语句中对参数并没有用单引号包裹，而在此却用单引号进行了包裹，于是我们可以尝试输入一些特殊字符，比如单引号：

发现单引号被转义了，这时我们不由得想到如果设置了gbk编码会怎么样：

我们会发现select * from table1成功执行了，尽管PDO只会返回一个结果，但是它的的确确执行了。

也就是说，即使查询语句里没有可控参数，只有?或者:id这类被绑定的参数，依然可以进行堆叠注入。

那如果把多句执行关掉呢？

我们把PDO::MYSQL_ATTR_MULTI_STATEMENTS设为false，重复上述操作：

发现已经行不通了。

实际也只执行了设置gbk这一条语句

但是这样就结束了吗？

为什么不试试union注入等其他方式呢？

经过尝试，发现union注入也是可以的！根本不需要进行多句执行！

实际上，在模拟预编译的情况下，PDO对于SQL注入的防范（PDO::queto()），无非就是将数字型的注入转变为字符型的注入，又用类似mysql_real_escape_string()的方法将单引号、双引号、反斜杠等字符进行了转义。

这种防范方法在GBK编码的情况下便可用宽字节进行绕过，而在非GBK编码的情况下，若存在二次注入的情况，是否能利用呢？

答案是否定的。

二次注入是由于对添加进数据库中的数据没有再次处理和转义而导致的，而预编译对每次查询都进行转义，则不存在二次注入的情况。

上述安全隐患，是由于未正确设置PDO造成的，在PDO的默认设置中，PDO::ATTR_EMULATE_PREPARES和PDO::MYSQL_ATTR_MULTI_STATEMENTS都是true，意味着模拟预编译和多句执行是默认开启的。

而在非模拟预编译的情况下，若语句中没有可控参数，是否还能这样做呢？

答案是否定的。

我们将PDO::ATTR_EMULATE_PREPARES设为false，来看看sql语句到底执行了什么：

它对每一句sql语句都进行了预编译和执行两个操作，在执行select balabala from table1 where 1=?这句时，如果是GBK编码，那么它将会把?绑定的参数转化成16进制，这样无论输入什么样的东西都无法再进行注入了。

如果不是GBK编码，如上面所说，也不存在二次注入的情况，故可以避免SQL注入漏洞。

相同原理的Prepare Statement方法

PDO的原理，与Mysql中prepare语句是一样的。上面PDO所执行的SQL语句，用如下的方式可以等效替代：

Set @x=0x31
Prepare a from “select balabala from table1 where 1=?”
Execute a using @x

我们可以手动将输入的参数设置为@x，并将其转化为16进制，随后预编译，再执行

也就是说，不用PDO也可以仿照其原理手动设置预编译：

$db = new mysqli('localhost','root','','pdotest');if(isset($_GET['id']))
{
	$id = "0x".bin2hex($_GET['id']);
}else{
	$id=1;
}echo "id:".$id."
";
$db->query("set names gbk");
$db->query("set @x={$id}");
$db->query("prepare a from 'select balabala from table1 where 1=?'");
$row = $db->query("execute a using @x");
$result = $row->fetch_assoc();if($result)
{	echo "结果为：";
	print_r($result);	echo "
";
}

得到的结果和使用PDO是一样的：

这样设置不用担心没有合理地设置PDO，或是用了GBK编码等情况。

Prepare Statement在SQL注入中的利用

Prepare语句在防范SQL注入方面起到了非常大的作用，但是对于SQL注入攻击却也提供了新的手段。

Prepare语句最大的特点就是它可以将16进制串转为语句字符串并执行。如果我们发现了一个存在堆叠注入的场景，但过滤非常严格，便可以使用prepare语句进行绕过。

例如我们将createtable table2 like table1转化成16进制，然后执行：

我们发现数据库中已经多了一个表table2。则语句成功执行了。

总结

对于此类问题的防范，主要有以下三个方面：

1. 合理、安全地使用gbk编码。即使采用PDO预编译的方式，如若配置不当，依然可造成宽字节注入

2. 使用PDO时，一定要将模拟预编译设为false

3. 可采用使用Prepare Statement手动预编译，杜绝SQL注入

相关文章教程推荐：网站安全教程

# php  # sql  # mysql  # select  # mysqli  # pdo  # 字符型  # 字符串  # union  # 堆  # 数据库  # https  # 微软  # 情况下  # 设为  # 进行了  # 单引号  # 便可  # 而在  # 我们可以  # 数据库中  # 绑定 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何在建站之星绑定自定义域名？  JavaScript 输出显示内容(document.write、alert、innerHTML、console.log)  文字头像制作网站推荐软件,醒图能自动配文字吗？  javascript和jQuery中的AJAX技术详解【包含AJAX各种跨域技术】  Laravel如何创建自定义中间件？（Middleware代码示例）  新三国志曹操传主线渭水交兵攻略  Android实现代码画虚线边框背景效果  制作网站软件推荐手机版,如何制作属于自己的手机网站app应用？  Laravel如何发送邮件和通知_Laravel邮件与通知系统发送步骤  Laravel如何处理文件上传_Laravel Storage门面实现文件存储与管理  Javascript中的事件循环是如何工作的_如何利用Javascript事件循环优化异步代码？  JS弹性运动实现方法分析  米侠浏览器网页背景异常怎么办 米侠显示修复  Laravel如何使用Scope本地作用域_Laravel模型常用查询逻辑封装技巧【手册】  Laravel Docker环境搭建教程_Laravel Sail使用指南  高端建站如何打造兼具美学与转化的品牌官网？  如何安全更换建站之星模板并保留数据？  高性能网站服务器配置指南：安全稳定与高效建站核心方案  香港服务器网站测试全流程：性能评估、SEO加载与移动适配优化  nginx修改上传文件大小限制的方法  详解jQuery中基本的动画方法  Win11怎么设置默认图片查看器_Windows11照片应用关联设置  如何在Tomcat中配置并部署网站项目？  极客网站有哪些,DoNews、36氪、爱范儿、虎嗅、雷锋网、极客公园这些互联网媒体网站有什么差异？  如何快速搭建高效WAP手机网站？  韩国网站服务器搭建指南：VPS选购、域名解析与DNS配置推荐  小视频制作网站有哪些,有什么看国内小视频的网站，求推荐？  Laravel Blade组件怎么用_Laravel可复用视图组件的创建与使用  微信小程序 配置文件详细介绍  高端智能建站公司优选：品牌定制与SEO优化一站式服务  javascript基本数据类型及类型检测常用方法小结  如何在宝塔面板中修改默认建站目录？  Laravel API路由如何设计_Laravel构建RESTful API的路由最佳实践  Win11怎么关闭透明效果_Windows11辅助功能视觉效果设置  如何正确下载安装西数主机建站助手？  Laravel模型事件有哪些_Laravel Model Event生命周期详解  如何注册花生壳免费域名并搭建个人网站？  网页设计与网站制作内容,怎样注册网站？  Laravel如何记录日志_Laravel Logging系统配置与自定义日志通道  七夕网站制作视频,七夕大促活动怎么报名？  Python面向对象测试方法_mock解析【教程】  Laravel怎么上传文件_Laravel图片上传及存储配置  焦点电影公司作品,电影焦点结局是什么？  Python文本处理实践_日志清洗解析【指导】  南京网站制作费用,南京远驱官方网站？  使用spring连接及操作mongodb3.0实例  如何在建站主机中优化服务器配置？  Laravel如何处理和验证JSON类型的数据库字段  Laravel如何操作JSON类型的数据库字段？（Eloquent示例）  教你用AI润色文章，让你的文字表达更专业