2017.W22 - SQL Injection > 都 2017 年了 SQL Injection 还没绝种 ## 前言 ## 前几天突然发现有不少登入次数 <20 的帐号在看这个版的文章 来源 IP 都很固定 突然想到... 如果在文章内容中塞入 SQL 语法 那些爬虫会不会就中标了... ## 内容 ## SQL Injection[0] 是一种发生在资料库层的安全漏洞 主要是在执行 SQL 语法时夹带了意料之外的参数 导致执行了预期以外的结果 一个有年代可以被 SQL Injection 语法可以是 SELECT count(*) from account WHERE user = '$USER' and password = '$PASSWORD'; 预期透过使用者填入的 USER 与 PASSWORD 参数来判断使用者输入的内容是否正确 (藉由回传非 0 值) 显而易见的 在 2017 年的现在这种写法应该是已经不存在了 原因在於透过没有被过滤的输入值 (像是 PASSWORD 输入成 1' OR '1' = '1) 就可以无视密码是否正确而成功登入... 同样的 假设网路爬虫为了搜寻本网页的内容 并找出所有的超连结[1] 可能的做法会是先用正规表示法找到所有 http:// 或 https:// 开头的内容 并且塞入到 DB 当中 这样可能的写法会是... 1. 先用 http[s]?://\S+ 来找到所有的超连结 2. 透过 INSERT INTO ptt.hyperlink (board, link) VALUES ('NewSecurity', '$LINK') 透过没有过滤的 LINK 参数 就可以被一个恶意的超连结导致 Table 被删除 (当然前提是爬虫会处理将 %20 转回成空白) 不过在重新提醒： SQL Injection 会发生的主要原因 在於信任 User 输入的内容而直接带入到 SQL 语法中 透过正确的过滤 与正确使用第三方套件 可以避免 SQL Injection 发生在 2017 的现在 [0]: https://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A [1]: https://zh.wikipedia.org/zh-tw/%E8%B6%85%E9%80%A3%E7%B5%90 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1496151667.A.759.html