no-image

PHP 小心urldecode引發的SQL隱碼攻擊漏洞

                                    

Ihipop 學校的 Discuz X1.5 論壇被黑,在那裡吵了一個下午。Google 一下“Discuz! X1-1.5 notify_credit.php Blind SQL injection exploit”,你就知道。

Discuz 是國內很流行的論壇系統,被黑的網站應該會很多吧。不過我對入侵別人的網站不感興趣,同時也鄙視那些程式碼都不會寫只會使用別人放出的工具攻擊的所謂的“黑客”。

粗略看了一下程式碼,這個 SQL 注入漏洞是 urldecode 函式造成的。在 PHP 手冊中,urldecode 函式下面有一個警告:

The superglobals $_GET and $_REQUEST are already decoded. Using urldecode() on an element in $_GET or $_REQUEST could have unexpected and dangerous results.

而 Discuz 的開發人員(估計是新手)畫蛇添足,多加了一個 urldecode:
複製程式碼 程式碼如下:
foreach($_POST as $k => $v) {
$value = urldecode($v);
$this->setParameter($k, $value);
}

單引號被 urlencode 兩次以後是 %2527,然後 POST,PHP 內部在生成全域性變數 $_POST 的時候會先 urldecode,得到 %27,然後 PHP 會檢查 Magic Quotes 的設定,但是無論是否開啟 Magic Quotes,%27 都不會被 addslashes,因為這時根本沒有單引號。但是這時如果你在 PHP 程式碼中畫蛇添足的加上 urldecode,%27就變成單引號了,然後……你懂的。

在我初學 PHP 的時候,看的是學校圖書館的一本爛書,裡面根本就沒寫 PHP 在處理表單的時候會自動 urldecode,所以自己用 urldecode 函式來解碼(依稀記得書上好像也是這麼寫的,真是誤人子弟啊)。

總結一下,就是:1、選擇一本好書非常重要;2、慎用 urldecode 函式。3、注意 PHP 手冊中的警告。
原文來自 http://demon.tw/programming/php-urldecode-sql-injection.html

您可能感興趣的文章:

ASP常用函式:HTMLDecodeJavascript UrlDecode函式程式碼mysql仿oracle的decode效果查詢php urlencode()與urldecode()函式字元編碼原理詳解Javascript生成json的函式程式碼(可以用php的json_decode解碼)js中escape對應的C#解碼函式 UrlDecodePHP json_decode函式詳細解析SQL中 decode()函式簡介

關聯文章