2017.W22 - SQL Injection
> 都 2017 年了 SQL Injection 還沒絕種
## 前言 ##
前幾天突然發現有不少登入次數 <20 的帳號在看這個版的文章
來源 IP 都很固定 突然想到...
如果在文章內容中塞入 SQL 語法 那些爬蟲會不會就中標了...
## 內容 ##
SQL Injection[0] 是一種發生在資料庫層的安全漏洞
主要是在執行 SQL 語法時夾帶了意料之外的參數 導致執行了預期以外的結果
一個有年代可以被 SQL Injection 語法可以是
SELECT count(*) from account WHERE user = '$USER' and password = '$PASSWORD';
預期透過使用者填入的 USER 與 PASSWORD 參數來判斷使用者輸入的內容是否正確 (藉由回傳非 0 值)
顯而易見的 在 2017 年的現在這種寫法應該是已經不存在了
原因在於透過沒有被過濾的輸入值 (像是 PASSWORD 輸入成 1' OR '1' = '1)
就可以無視密碼是否正確而成功登入...
同樣的 假設網路爬蟲為了搜尋本網頁的內容 並找出所有的超連結[1]
可能的做法會是先用正規表示法找到所有 http:// 或 https:// 開頭的內容
並且塞入到 DB 當中 這樣可能的寫法會是...
1. 先用 http[s]?://\S+ 來找到所有的超連結
2. 透過 INSERT INTO ptt.hyperlink (board, link) VALUES ('NewSecurity', '$LINK')
透過沒有過濾的 LINK 參數 就可以被一個惡意的超連結導致 Table 被刪除
(當然前提是爬蟲會處理將 %20 轉回成空白)
不過在重新提醒:
SQL Injection 會發生的主要原因 在於信任 User 輸入的內容而直接帶入到 SQL 語法中
透過正確的過濾 與正確使用第三方套件 可以避免 SQL Injection 發生在 2017 的現在
[0]: https://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A
[1]: https://zh.wikipedia.org/zh-tw/%E8%B6%85%E9%80%A3%E7%B5%90